ABD, WhatsApp konuşmalarının özel olmadığı iddiasını soruşturuyor

 (bloomberg.com)
2 puan yazan GN⁺ 2026-02-02 | 1 yorum | WhatsApp'ta paylaş
  • ABD Ticaret Bakanlığı özel ajanları, eski Meta yüklenicilerinin iddialarını soruşturuyor; bu kişiler WhatsApp mesajlarına erişim olasılığını gündeme getiriyor
  • Eski yükleniciler, kendilerinin ve bazı Meta çalışanlarının “sınırsız erişim (unfettered access)” yetkisine sahip olduğunu ifade etti
  • Bu iddia, Meta’nın WhatsApp’ın şifreli ve özel olduğunu belirten resmi tutumuyla çelişiyor
  • Aynı içerik, 2024 yılında ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yapılan bir ihbar başvurusunda da yer aldı
  • Bu soruşturma ve ihbar, daha önce kamuya açıklanmamış konular olup, mesajlaşma uygulamalarına yönelik gizlilik güveni üzerinde önemli etki yaratıyor

ABD hükümetinin soruşturmasına genel bakış

  • ABD’deki kolluk kuvvetleri, Meta Platforms Inc.’in eski yüklenici çalışanlarının ortaya attığı WhatsApp mesajlarına erişim olasılığı iddiasını soruşturuyor
    • Bloomberg News’in elde ettiği soruşturma raporları ve röportajlara göre, Meta çalışanlarının WhatsApp konuşmalarına erişebilmiş olabileceği öne sürülüyor
  • Soruşturmayı yürüten kurumun ABD Ticaret Bakanlığı özel ajanları (Special Agents with the US Department of Commerce) olduğu belirtiliyor
  • Soruşturmanın konusu, Meta’nın savunduğu uçtan uca şifreleme ve özel konuşmaları koruma politikasının güvenilirliğiyle doğrudan bağlantılı

Eski yüklenicilerin iddiaları

  • Eski yükleniciler, kendilerinin ve bazı Meta çalışanlarının WhatsApp mesajlarına “sınırsız erişimi” olduğunu söyledi
    • Bu ifade, kolluk kayıtlarına, olayı yakından bilen kişilere ve yüklenicilerin kendi tanıklıklarına dayanıyor
  • Yüklenicilerden biri, misilleme ihtimaline ilişkin endişeler nedeniyle isminin açıklanmaması şartıyla konuştu

İhbar ve ilgili kurumlar

  • Aynı iddia, 2024’te ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) sunulan bir ihbar başvurusunda (whistleblower complaint) da yer alıyor
  • Söz konusu ihbar ile Ticaret Bakanlığı soruşturmasının, daha önce kamuoyuna açıklanmamış bilgiler olduğu ve bunların ilk kez Bloomberg tarafından haberleştirildiği belirtiliyor

Meta’nın resmi tutumuyla çatışma

  • Meta, WhatsApp’ın özel ve şifreli olduğunu uzun süredir vurguluyor
  • Ancak bu soruşturma ve tanıklıklar, Meta’nın resmi açıklamalarıyla çelişebilecek bir olasılığı gündeme getiriyor

Olayın önemi

  • Bu olay, mesajlaşma hizmetlerinde şifrelemeye duyulan güvenilirlik ve kullanıcı gizliliğinin korunma düzeyi hakkında soru işaretleri yaratıyor
  • ABD devlet kurumlarının doğrudan soruşturma başlatmış olması, küresel mesajlaşma platformlarında güvenlik şeffaflığı sorununu yeniden gündeme taşıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-02
Hacker News görüşleri

  • WhatsApp’ın uçtan uca şifrelemesi (E2EE) bağımsız olarak incelenmiş
    Tüm kaynak kodu gözden geçirilmemiş, yalnızca şifreleme çekirdeği analiz edilmiş
    Asıl sorun, WhatsApp sunucusunun hangi kullanıcıların sohbet grubuna dahil edileceğine karar vermesiymiş
    Dan Goodin bu konuyu Ars Technica yazısında ele alıyor

    • Tüm kaynak koduna bakılmamış olmasının sorun olduğunu düşünüyor
      Facebook’un mobil güvenlik önlemlerini aşarak localhost üzerinden veri aktarımı yaptığı olmuştu
      Uygulama veriyi birden fazla yöne gönderebiliyor ve push bildirimleri üzerinden mesajları okuyabiliyor
      İlgili haber: Cybersecurity News
    • WhatsApp APK’sı, Google Play dışı kurulum ortamlarında da Google Tag Manager script’i yüklüyor
      Her sohbet için tekrar tekrar yükleniyor ve bu durum bir MitM güvenlik duvarıyla da doğrulanabiliyor
      Bu tür denetimlerin neden hep yalnızca şifreleme kısmını ele aldığı sorgulanıyor
      İstemci düz metin mesajları başka sunuculara ya da çeviri servislerine gönderiyorsa aktarım şifrelemesi anlamsız hale gelir
    • Sunucu gruba keyfi üyeler ekleyebilir, ancak istemci yeni üyenin varlığını gösterir ve önceki mesajlar paylaşılmaz
      Yine de istemci de aynı anda ele geçirilirse bu gösterim gizlenebilir
      Yakın tarihli bir Livemint haberine göre WhatsApp, yeni üyelere geçmiş mesajları paylaşan bir özellik geliştiriyor; bu da güvenliğin zayıflaması anlamına gelebilir
      Politika değişiklikleri hızlı yaşandığı için kimsenin istisna olmadığını vurguluyor
    • WhatsApp sunucusu, hangi açık anahtarın hangi telefon numarasına bağlanacağına da karar veriyor
      Yüz yüze doğrulama yapılmadan buna güvenmek zor
    • Teknolojiyi gerçek uygulamaya bakarak değerlendirdikleri için teşekkür ediyor

  • Kapalı kaynak E2EE istemcilerinin tamamen güvenli olamayacağını düşünüyor
    Arka kapı tespiti pratikte ancak açık kaynakta mümkün ve yeniden üretilebilir derlemeler (reproducible builds) önemli
    Yalnızca sunucu tarafında kötüye kullanılabilen ince bir uzaktan kod çalıştırma açığı da arka kapı işlevi görebilir

    • Arka kapı tespitinin ancak ikili dosya düzeyinde mümkün olduğunu savunuyor
      Derleyicinin davranışını kusursuz biçimde anlamadan kaynak kodda gizli arka kapı bulmanın imkansız olduğunu söylüyor
    • Stallman’ın felsefesine değinerek, güvenlik açısından kapalı kaynak yazılımın otomatik bir obfuscation etkisi sayesinde avantajlı olabileceğini düşünüyor
      Açık kaynağın pek çok artısı olsa da, temelsiz bir güvenlik üstünlüğü iddiasına gerek olmadığını söylüyor

  • Eski bir WhatsApp mühendisi olarak, ekibin E2EE uygulamasına muazzam emek verdiğinden emin olduğunu söylüyor
    Şifrelenmiş mesajları okumak mümkün değildi
    İş modeli açısından da WhatsApp Business API yeterli gelir sağlıyordu

    • Facebook’un basit gelirden çok kullanıcı davranışı üzerinde etki kurmaya ve dikkati satmaya önem verdiği söyleniyor
    • Signal ile WhatsApp’ın Google Play’de bir dönem aynı adresi kullandığı olmuştu; Signal protokolünün entegrasyonu sırasında bir iş birliği olup olmadığı merak ediliyor
    • Andreas Schjelderup’un küçük ölçekli içerik paylaşırken neden yakalandığı soruluyor
    • Sunucunun iki istemci arasındaki bağlantıda ortadaki adam saldırısı (MitM) yapıp yapamayacağı,
      istemcilerin karşı tarafın anahtarlarını doğrudan karşılaştırıp karşılaştıramayacağı veya paket içeriğini doğrulayıp doğrulayamayacağı soruluyor
    • Tek bir mühendise bile farklı talimat verilirse tüm gizlilik çabasının anlamsızlaşabileceği belirtiliyor

  • Matthew Green, yakın tarihli bir Bluesky paylaşımında,
    WhatsApp’ın düz metne erişimi olduğu yönündeki davayı dayanağı zayıf, dikkat çekmeye yönelik bir iddia olarak değerlendiriyor

  • Meta veya eski WhatsApp çalışanlarının açıklamalarıyla soruşturma bulgularının hiçbiri ihbarcının iddialarıyla çelişmiyor
    Gerçekten güvenebilmek için SEC’in resmi belgelerinde “Meta, WhatsApp mesajlarına hiçbir şekilde erişmemiştir ve erişmesi de mümkün değildir” şeklinde bir beyan görmek gerektiği söyleniyor

  • Birkaç varsayımsal senaryo ortaya koyuluyor

    1. Şifreli mesajlar toplanıp kuantum bilişim ile çözülmeye çalışılır
    2. Metadata analizi ile gerçek içerik çıkarımlanır
      Örneğin ben bir sayfayı ziyaret edip arkadaşa bağlantı gönderirsem ve o arkadaş da aynı sayfayı ziyaret ederse, mesajın içeriği tahmin edilebilir
    • (1) için bunun gerçekçi olmadığı söylenerek gülünüyor
      FAANG şirketlerinin sanıldığı kadar teknik olarak sağlam olmadığı belirtiliyor
      Şirket içinde “Decryption at Scale” benzeri projelerin çoğu zaman performans değerlendirmesi için yazılmış belgelerden ibaret kaldığı söyleniyor
    • (2)’de olduğu gibi yeterli metadata ile bir kişinin yaşam düzeni ve konumu anlaşılabilir
      Gerçek içeriği çözmeye gerek kalmaz
    • Kuantum bilişimle şifre çözmenin bilimsel olarak neredeyse imkansız olduğu söyleniyor
      Bunun, 2016’da zaten 2026 seviyesinde teknolojiye sahip olunduğunu iddia etmeye benzediği belirtiliyor
    • ABD hükümetinin mesajları hemen okumaya çalışmaktan çok, ileride okuyabilmek için depoluyor olmasının daha muhtemel olduğu söyleniyor
      İlgili referans: Utah Data Center
    • Asıl sorunun, yedeklemelerin tam E2EE olmaması olduğu belirtiliyor
      Anahtar kullanıcıda değil, sunucuda tutuluyor

  • Böyle soruşturmaların pratikte nasıl yürütüldüğü merak ediliyor
    Sadece soru sorulup sorulmadığı, BT uzmanlarıyla birlikte uygulamanın teknik analizinin yapılıp yapılmadığı,
    kullanıcının cihazında çalışan kodla aynı kaynak kodunun doğrulanmasının istenip istenmediği öğrenilmek isteniyor

    • İlk adımda, devlet soruşturmasında yalan söylerken yakalanma korkusunun caydırıcı olduğu söyleniyor
      Ama bunun tamamen dışlanamayacağı da ekleniyor
    • Herkes istemci ikili dosyalarını denetleyebilir
    • Birçok hükümetin zaten reverse engineering yoluyla analiz yapmış olmasının muhtemel olduğu söyleniyor

  • Tüm şifrelemenin merkezinde anahtar yönetimi olduğu düşünülüyor
    Anahtarları doğrudan siz kontrol etmiyorsanız, sonunda başka biri kontrol eder
    WhatsApp’ın mesajları cihazlar arasında otomatik senkronize etmesi kullanım kolaylığı ile güvenlik arasında bir ödünleşim
    Kullanıcıların çoğu karşı tarafın fingerprint bilgisini doğrudan doğrulamıyor

  • Dünyanın en büyük mahremiyet ihlalcisi şirketleri, kullanıcı mahremiyetini zayıflatmak için her türlü teşvike sahip
    İş modelleri doğrudan veri toplama ve davranış yönlendirme üzerine kurulu
    Bu yüzden ortada kanıt olmasa bile güvenmemek rasyonel bir tercih olarak görülüyor