Yeni bir dava(yeni pencere), WhatsApp’ın güvenliğini tekrar mercek altına alıyor. Uygulamanın eski güvenlik şefi Attaullah Baig, Meta’nın yüzlerce çalışanın hassas kullanıcı verilerine erişmesine izin veren kritik açıkları görmezden geldiğini ve toplu hesap hack’lerini durdurmakta başarısız olduğunu iddia ediyor. Meta iddiaları reddediyor, ancak WhatsApp’ın 3 milyar kullanıcısı(yeni pencere) için soru aynı: WhatsApp kullanmak gerçekten güvenli mi?

WhatsApp güvenli sohbetler için güvenli mi?

Davanın iddialarına rağmen, WhatsApp’ın uçtan uca şifrelemesi (E2EE) bozulmadan kalmaktadır. Hiçbir şey, WhatsApp’ın şifreleme protokolünün kırıldığını veya Meta’nın yazışmalarınızın içeriğini okuyabildiğini göstermiyor. Bu, metinlerinizin, fotoğraflarınızın ve sesli aramalarınızın hala Meta’nın kendisi de dahil olmak üzere dış erişime karşı korunduğu anlamına gelir.

Ancak WhatsApp üst verilerinizi (kiminle konuştuğunuz, ne zaman vb.) okuyabilir ve yaşadığınız yere bağlı olarak bu verileri Meta ile paylaşır. Dolayısıyla güvenliği, ne kadar bilgiyi güvenli tutmak istediğinize bağlıdır.

Meta, WhatsApp gizlilik endişeleri nedeniyle neden dava ediliyor?

2021 ve 2025 yılları arasında WhatsApp’ın güvenlik ekibini yöneten Attaullah Baig, uygulamanın Meta’nın iddia ettiği kadar güvenli olmadığını söylüyor. Davasında, yaklaşık 1.500 çalışanın konum, profil fotoğrafları, grup üyelikleri ve kişi listeleri dahil olmak üzere hassas kullanıcı bilgilerine erişimi olduğunu iddia ediyor.

Bu iddialar doğruysa, WhatsApp’ın uçtan uca şifreleme konusundaki konumunu(yeni pencere) netleştirecektir: İletileriniz güvenlidir, ancak konumunuz, profil fotoğraflarınız, grup üyelikleriniz ve kişi listeleriniz savunmasızdır. Bu tür bir kısıtlamasız erişim, hassas bilgilerin çalınabileceği ve karanlık web’de satılabileceği içeriden gelen tehditlere ve veri sızıntılarına kapı açar.

Eski güvenlik şefi, bu erişim düzeyinin aynı zamanda Cambridge Analytica skandalından sonra Meta’yı (o zamanlar Facebook) 2020’de 5 milyar dolar rekor ceza(yeni pencere) ödemeye zorlayan bağlayıcı bir ABD hükümet emrini de ihlal edebileceğini savunuyor.

Ayrıca şirketin günde 100.000’den fazla hesap ele geçirme olayını görmezden geldiğini ve önerdiği düzeltmeleri reddettiğini iddia ediyor. Davaya göre, Baig bu endişeleri Mark Zuckerberg de dahil olmak üzere üst düzey yönetime ilettiğinde, Meta onu kovdu.

Meta, Baig’in iddialarını reddetti ve işten çıkarılmasını düşük performansa bağladı. İddialar siyasi dikkatleri de üzerine çekti ve senatörler Zuckerberg’i(yeni pencere) WhatsApp’ın güvenlik uygulamaları hakkında yanıt vermeye zorladı.

Baig’in davası, altı mevcut ve eski Meta çalışanından(yeni pencere) oluşan bir grubun, şirketin sanal gerçeklik platformlarında çocukların tımar, taciz ve şiddete maruz kaldığına dair kanıtları örtbas ettiğini iddia etmesinden sadece birkaç gün sonra geldi. Meta bu iddiaları da reddetti.

WhatsApp’ın güvenlik ve gizlilik riskleri nelerdir?

WhatsApp’ın kullanıcı verilerini işlemesi mercek altındayken, bu uygulamayı kullanırken karşılaşabileceğiniz güvenlik ve gizlilik riskleri şunlardır:

Kötü amaçlı yazılım ve casus yazılım

Kötü niyetli uygulamalar veya bağlantılar telefonunuza casus yazılım kurarak saldırganların iletileri veya kodları ele geçirmesine olanak tanıyabilir. Bir örnek, ilk olarak Brezilya’da tespit edilen ve ülkenin anlık ödeme sistemi Pix’i hedef alan bir Android kötü amaçlı yazılımı olan PixPirate(yeni pencere)‘tir. O zamandan beri Hindistan, Meksika ve İtalya’da da görüldü. Amacı bankacılık kimlik doğrulama bilgilerini çalmak, iki adımlı doğrulama (2FA) kodlarını ele geçirmek, kurbanın hesabından yetkisiz Pix transferleri başlatmak ve kaldırılmasını veya Google Play Protect’in devre dışı bırakılmasını engellemektir.

Saldırganlar PixPirate’i yaymak için WhatsApp’ı kullandı. Kötü amaçlı yazılım aygıtta WhatsApp’ı algılamazsa(yeni pencere), kişilere daha fazla kötü amaçlı bağlantı göndermek için onu indirecektir.

Sıfır tıklama açıkları

2025’te araştırmacılar, bilgisayar korsanlarının kullanıcılar hiçbir şeye tıklamadan WhatsApp üzerinden iPhone ve Mac’lere girmesine(yeni pencere) izin veren bir sıfır tıklama saldırısı keşfetti. Açık, iki hatayı birleştirdi: Biri macOS ve iOS’in görüntüleri işleme biçiminde, diğeri ise WhatsApp’ın aygıt bağlama özelliğindeydi.

Siber suçlular, WhatsApp iletileri aracılığıyla Apple kullanıcılarına casus yazılım gönderebilir ve iletiler dahil olmak üzere aygıtlarından veri çalabilirdi. Meta, 200’den az kullanıcının etkilendiğini söyledi ve hem Apple hem de WhatsApp o zamandan beri güvenlik açıklarını yamadı.

Aynı yıl, ayrı bir sıfır tıklama güvenlik açığı Samsung aygıtlarını etkiledi (CVE-2025-21042(yeni pencere)). Saldırganlar kötü amaçlı bir görüntü dosyası göndererek Galaxy telefonları ele geçirebiliyordu ve hiçbir etkileşim gerekmiyordu. Bu açık, Samsung’un Nisan 2025 güvenlik güncellemesinde sorunu yamamasına kadar hedefli casus yazılım kampanyalarında kullanıldı.

SIM takas ve doğrulama kodu dolandırıcılıkları

Saldırganlar mobil operatörünüzü kandırarak telefon numaranızı kendi kontrollerindeki yeni bir SIM karta transfer ettirebilir. Ardından, yeni bir aygıt kurarken WhatsApp’ın SMS ile gönderdiği altı haneli kodu paylaşmanız için sizi dolandırabilirler. Eğer verirseniz, kötü niyetli kişiler hesabınızı ele geçirebilir, sizi dışarıda bırakabilir, kimliğinizi çalabilir ve profilinizi kişilerinizi dolandırmak için kullanabilir. Londra, Southwark polisi, 2021’de bu saldırılarda bir artış bildirdi(yeni pencere) ve insanları WhatsApp kodlarını asla paylaşmamaları konusunda uyardı.

Açığa çıkan üst veriler

Sohbetler uçtan uca şifrelenmiş olabilir, ancak WhatsApp (ve ana şirketi Meta) hala kiminle konuştuğunuz, ne sıklıkla konuştuğunuz, aygıt ayrıntılarınız ve konumunuz gibi üst verileri toplar. Üst veriler kimliğinizi doğrudan belirlemek için kullanılamaz, ancak kimliğinizi yeniden belirlemek(yeni pencere) için diğer bilgilerle çapraz referanslanabilir. Ve Meta ABD merkezli olduğu için, hakkınızda bildiği her şeyi haber vermeksizin ABD hükümetiyle paylaşabilir.

3,5 milyar WhatsApp telefon numarasının toplu ifşası

2025’te, bir grup bağımsız Avusturyalı araştırmacı, WhatsApp’ta, kolayca tekrarlanabilir bir telefon numaralandırma yöntemi kullanarak 3,5 milyar telefon numarasını (profil fotoğrafları, aygıt ayrıntıları, zaman damgaları, “hakkımda” metni ve işletme bilgileriyle birlikte) almalarına izin veren bir gizlilik açığı keşfetti(yeni pencere). Aynı güvenlik açığı ilk olarak 2017’de bildirilmişti, ancak Meta bunu ele almadı. Önemli bir nokta, bu özel yöntemi kullanan doğrulanmış hiçbir WhatsApp veri ihlalinin kamuya bildirilmemiş olmasıdır.

Telefon numaranız ve üst verileriniz sizi doğrudan tanımlamasa da, kim olduğunuzu ortaya çıkarmak için diğer verilerle eşleştirilebilir. Belki de sosyal platformlarda aynı profil fotoğrafını tekrar kullanıyorsunuzdur veya e-postalarınızın, kullanıcı adlarınızın veya konumunuzun açığa çıktığı geçmiş veri ihlallerinin bir parçası olmuşsunuzdur – bunların hepsi WhatsApp üst verilerinize geri bağlanabilir.

Araştırmacılar ayrıca WhatsApp’ın uçtan uca şifrelemesi için kullanılan herkese açık anahtarları da elde etti ve şifreleme anahtarlarının farklı hesaplarda yüzlerce kez tekrar kullanılması ve her oturum için taze olarak oluşturulması tasarlanmış olmasına rağmen tek seferlik ön anahtarların tekrar tekrar görünmesi gibi ciddi sorunlar buldu.

Bu güvenlik sorunları, şifrelemesi bozuk olan resmi olmayan veya sahte WhatsApp istemcilerinin kullanıldığını düşündürmektedir. Bu değiştirilmiş uygulamaları kullanırsanız, iletileriniz ele geçirilmeye, şifre çözmeye veya hesap taklidine karşı savunmasız olabilir.

Meta, numaralandırma sorununu çözdüğünü söyledi, açığa çıkan verilerin hassasiyetini küçümsedi ve herkese açık anahtar sorunlarını veya bu büyük kusur hakkında neredeyse on yıl önce uyarıldığı gerçeğini ele almadı.

Tüm Meta platformlarında hedeflenmiş reklamlar

WhatsApp, ileti içeriğini reklamlar için(yeni pencere) kullanmadığını söylüyor, ancak hesap bilgileri (ülke kodu, yaş), aygıt bilgileri (dil, konum) ve Durum ve Kanallar’daki etkinlikler (ne görüntülediğiniz, takip ettiğiniz veya tıkladığınız) gibi diğer verileri kullanıyor. WhatsApp Meta’nın bir parçası olduğu için, bu veriler Facebook ve Instagram genelinde paylaşılabilir, ancak bu veri paylaşımı GDPR sayesinde Avrupa’da sınırlıdır.

WhatsApp gizlilik ilkesini 2021’de değiştirdiğinden beri, işletmelerle yapmış olabileceğiniz ödeme ve işlem verilerini Meta (o zamanki adıyla Facebook) ile de paylaşıyor. WhatsApp’ı Meta’nın Hesaplar Merkezi’ne bağlarsanız, reklam tercihleriniz birleştirilir; bu da WhatsApp’taki eylemlerin başka yerlerde gördüğünüz reklamları etkileyebileceği anlamına gelir. Ve Meta AI tarafından desteklenen yeni özelliklerle, platformlar arası veri paylaşımı daha da fazla endişe yaratmaktadır.

Meta AI eğitimi

Meta AI; WhatsApp, Facebook ve Instagram’a gömülüdür ve verilerin nasıl işlendiği, yapay zeka eğitimi için nasıl kullanıldığı ve bu platformlar arasında nasıl paylaşıldığı konusunda endişeleri körüklemektedir.

WhatsApp’ta Meta, Meta AI’nın güvenli, uçtan uca şifrelenmiş sohbetlerinize erişmediğini söylüyor. Ancak, Meta AI ile paylaştığınız istemler ve geri bildirimler saklanabilir ve modellerini geliştirmek için kullanılabilir. WhatsApp ayrıca, Meta’nın özetlerin şirket veya başkası tarafından okunmasını engellediğini iddia ettiği “güvenli işleme”(yeni pencere) dayanan bir yazışma özeti özelliği de sunmaktadır.

Bu güvencelere rağmen, insanların verileri üzerinde gerçekten ne kadar kontrole sahip oldukları konusunda endişeler devam ediyor. Örneğin, Facebook kullanıcıları, Meta AI’nın rızaları olmadan yayınlanmamış fotoğrafları film rulolarından taramasına izin veren ayarları etkinleştirdiğini bildirdi.

WhatsApp’ta nasıl güvende kalınır

WhatsApp kullanırken gizliliğinizi ve güvenliğinizi iyileştirmek için yapabilecekleriniz şunlardır:

  • Uçtan uca şifrelemenizin doğru çalıştığından emin olmak için her zaman App Store veya Google Play’deki resmi WhatsApp uygulamalarını kullanın.
  • Bir kişi WhatsApp’ı yeniden kurduğunda, telefonunu değiştirdiğinde veya bağlı bir aygıt ekleyip kaldırdığında uyarı almak için telefonunuzda güvenlik bildirimlerini açın.
  • Yüzünüz, parmak iziniz veya ekran kilidinizle WhatsApp’ta oturum açabilmek için bir geçiş anahtarı oluşturun. Bu, SMS kodunuzu alsalar bile başkasının oturum açmasını engeller.
  • Hesabınız kilitlenirse doğrulamak veya kurtarmak için bir e-posta adresi ekleyin. E-postanızın güçlü bir parola ve iki adımlı doğrulama ile güvence altına alındığından emin olun.
  • Sohbetlerinizi iCloud veya Google Drive‘da korumak için uçtan uca şifrelenmiş yedeklemeleri etkinleştirin; böylece Apple, Google veya Meta bile bunları okuyamaz. WhatsApp bir bulut depolama sağlayıcısı seçmenize izin vermez. Aksi takdirde, sohbet yedeklemelerini tamamen kapatmalısınız.
  • Altı haneli doğrulama kodunuzu asla kimseyle paylaşmayın. WhatsApp ve Meta bunu asla istemez.
  • Numaranızın başka bir SIM karta taşınabilmesi için mobil operatörünüzden bir PIN veya parola eklemesini isteyin. Bu, SIM takasını çok daha zor hale getirir.
  • WhatsApp’ı yalnızca Google Play veya App Store’dan indirin ve onu (ayrıca mobil ve masaüstü işletim sisteminizi) en son sürüme güncellenmiş halde tutun.
  • Asla bağlantılara tıklamayın veya bilinmeyen veya şüpheli WhatsApp kişilerinden gelen uygulamaları kurmayın. Bir kişiden emin değilseniz, kimliğini onaylamak için başka bir yöntem kullanarak onlara ulaşın.
  • Sizi kimlerin gruplara ekleyebileceğini; profil resminizi, son görülme ve çevrim içi durumunuzu, hakkında bölümünü ve profilinizdeki bağlantıları kimlerin görebileceğini sınırlandırarak (yeni pencere)WhatsApp gizlilik ayarlarınızı(yeni pencere) sıkılaştırın.
  • WhatsApp’ta Meta AI’yı tamamen kapatamazsınız, ancak etkinliğinizden çok fazla şey öğrenmesini engellemek ve iletilerinizin AI eğitim verilerine karışmasını önlemek için adımlar atabilirsiniz.

Daha güvenli bir anlık mesajlaşma uygulaması seçin

Güvenliğinizi iyileştirmek ve diğer WhatsApp kullanıcılarının görebileceklerini sınırlamak için adımlar atsanız da bu, Meta’nın gelir elde etmek için hala üst veriler gibi kullanıcı bilgilerini toplamaya güvendiği gerçeğini değiştirmez. Son ihbarcı iddiaları doğruysa, bu erişim şirketin kabul ettiğinden daha geniş olabilir. Meta’nın gizlilik ihlalleri geçmişi göz önüne alındığında, biraz şüphecilik haklı görülebilir.

Bu kontrol düzeyi sizi endişelendiriyorsa, çok daha az veri toplayan ve öde ya da izin ver reklam modeli nedeniyle düzenleyiciler tarafından para cezasına çarptırılan bir Büyük Teknoloji şirketine bağlı olmayan, WhatsApp’a daha güvenli bir alternatifi düşünün.