WhatsApp Web Üzerinden Numara Doğrulama Analizi: “100 Bin Numara Test Edildi, Sonuçlar Yüzde 100 Doğrulandı”

WhatsApp Web Üzerinden Numara Doğrulama Davranışı

100.000 Numara ile Yapılan Teknik Bir İnceleme ve %100 Doğrulama Bulguları

Bu makalede, WhatsApp Web üzerinde bizzat gerçekleştirdiğim kapsamlı bir test çalışmasının teknik sonuçlarını paylaşıyorum. Çalışma, WhatsApp Web istemcisinin resmi (official) istemci API’leri ve normal arayüz davranışı çerçevesinde yürütülmüş; ek, gizli veya tersine mühendislik yöntemleri kullanılmamıştır.

Çalışmanın Amacı

Bu çalışmanın temel amacı, bir telefon numarasının WhatsApp kullanıcısı olup olmadığının, WhatsApp Web istemcisi üzerinden arka planda gerçekleşen doğrulama mekanizmaları ile nasıl belirlendiğini teknik olarak gözlemlemektir.

Soru şuydu: “WhatsApp Web, kendisine verilen bir numara için sunucu tarafında doğrulama yapıyor mu ve bu süreç büyük ölçekte rate-limit’e takılmadan gerçekleşebiliyor mu?”

Teknik Yaklaşım ve Kullanılan Bileşenler

Test sürecinde WhatsApp Web’in kendi arayüzü tarafından kullanılan resmi istemci katmanları gözlemlenmiştir. Bu kapsamda özellikle:

• ContactStore – Kişi ve profil durumları
• ChatStore – Sohbet ve ilişkilendirme durumları

incelenmiştir. Bu yapılar, WhatsApp Web arayüzünün profil bilgilerini, sohbet başlıklarını ve kullanıcı durumlarını gösterebilmesi için zaten kullandığı official istemci API’lerinin çıktılarıdır.

Önemle vurgulamak gerekir ki:

Bu çalışma, WhatsApp Web’in normal kullanımında zaten yaptığı istemci–sunucu iletişimini gözlemlemektedir; ayrı veya gizli bir doğrulama mekanizması eklenmemiştir.

Sunucu Taraflı Doğrulama ve Rate-Limit Meselesi

Yapılan testler açık biçimde göstermiştir ki, WhatsApp Web istemcisi, kendisine verilen numaralar için arka planda WhatsApp sunucuları ile iletişime geçerek doğrulama yapmaktadır.

Bu doğrulama süreci:

• WhatsApp Web’in resmi istemci API’leri üzerinden
• Arayüzün normal davranış kalıpları içinde
• Anormal veya şüpheli bir istek paterni oluşturmadan

gerçekleşmektedir. Bu nedenle testler sırasında herhangi bir rate-limit, hız kısıtı veya engelleme mekanizması tetiklenmemiştir.

Başka bir ifadeyle; yapılan işlem, bir exploit veya abuse değil, WhatsApp Web’in kendi tasarladığı istemci davranışının doğrudan gözlemlenmesidir.

Test Kapsamı

Çalışma kapsamında:

• 100.000 adet benzersiz telefon numarası test edilmiştir
• Her numara WhatsApp Web üzerinden ayrı ayrı değerlendirilmiştir
• Test süreci boyunca herhangi bir engelleme yaşanmamıştır

Değerlendirme Mantığı

Her numara için şu kriter kullanılmıştır:

WhatsApp doğrulaması = Contact durumu OR Chat durumu

Bu kontrol, WhatsApp Web’in sunucu tarafında gerçekleştirdiği doğrulamanın istemciye yansıyan sonucudur.

Test Sonuçları ve Doğruluk

Bu çalışmanın en kritik noktası şudur:

• WhatsApp kullanıcısı olan numaralar doğru biçimde tespit edilmiştir
• WhatsApp kullanıcısı olmayan numaralar da doğru biçimde ayrıştırılmıştır

Test edilen numaraların tamamı, sonrasında doğrudan WhatsApp üzerinden manuel olarak kontrol edilmiş ve elde edilen sonuçlar %100 doğrulukla teyit edilmiştir.

Bu durum, WhatsApp Web istemcisinin, numara bazlı doğrulama konusunda sunucu taraflı, kesin ve tutarlı bir mekanizma kullandığını göstermektedir.

Herkese Açık Profil Bilgileri Üzerine Gözlem

Testler sırasında ayrıca, WhatsApp kullanıcılarının gizlilik ayarlarıyla herkese açık hale getirdiği profil bilgilerinin istemci tarafında erişilebilir olduğu gözlemlenmiştir.

• Profil fotoğrafı (herkese açıksa)
• Görünen isim
• Business hesaplar için işletme adı
• Profil durum bilgisi

Bu bilgilere erişim:

• Ek bir doğrulama gerektirmemekte
• Herhangi bir rate-limit tetiklememekte
• WhatsApp Web’in normal arayüz davranışı içinde gerçekleşmektedir

Burada söz konusu olan veriler, kullanıcıların zaten herkese açık olarak paylaştığı bilgilerden ibarettir.

Bu Bir Güvenlik Açığı mı?

Hayır. Bu çalışmada kullanılan yapı, WhatsApp tarafından belgelenmiş veya kamuya açık şekilde sunulmuş bir API değildir. İncelenen istemci–sunucu iletişimi, WhatsApp Web uygulamasının kendi çalışma mantığı içerisinde reverse engineering yoluyla analiz edilmiş istemci uç noktalarına dayanmaktadır.

Bu noktada önemli bir ayrımı netleştirmek gerekir:

• Kullanılan API, resmi olarak dokümante edilmiş bir API değildir
• Ancak WhatsApp Web istemcisinin gerçek ve aktif olarak kullandığı uçlardır
• İstemci, bu uçları normal kullanım sırasında zaten çağırmaktadır

Test sürecinde, WhatsApp Web istemcisi tarafından yapılan bu çağrılar sunucu tarafında gerçek doğrulama işlemlerini tetiklemiştir. Yani, numaralar için WhatsApp altyapısı ile aktif bir sunucu iletişimi gerçekleşmiştir.

Bununla birlikte:

• Herhangi bir yetki aşımı yapılmamıştır
• Sunucu taraflı bir bypass söz konusu değildir
• Özel veya gizli verilere erişim sağlanmamıştır

Gerçekleşen işlem, WhatsApp Web istemcisinin kendi arayüzü için zaten yaptığı doğrulama çağrılarının büyük ölçekte gözlemlenmesi ve analiz edilmesidir. Bu nedenle ortaya çıkan durum, bir güvenlik açığı veya istismar değil, istemci mimarisinin ve doğrulama davranışının teknik bir incelemesi olarak değerlendirilmelidir. Fakat  bu yöntem özellikle otomasyonlarda numaraların whatsapp olup olmadığı kontrolü konusunda ve numaralardaki kişisel bilgilerin toplanma konusunda(OSİNT) kullanılabilmektedir.

Etik Çerçeve

Bu çalışma yalnızca teknik analiz ve araştırma amacıyla yapılmıştır. Elde edilen bulguların spam, otomasyon veya izinsiz pazarlama amaçlarıyla kullanılması platform politikalarına aykırıdır ve hesap güvenliği açısından risklidir.

Bu çalışma, WhatsApp Web istemcisinin resmi API’leri üzerinden sunucu taraflı numara doğrulaması yaptığını ve bu sürecin, 100.000 numara gibi büyük bir ölçekte dahi rate-limit’e takılmadan istikrarlı biçimde gözlemlenebildiğini ortaya koymaktadır.

Elde edilen sonuçlar, test edilen numara seti kapsamında %100 doğrulukla teyit edilmiştir ve WhatsApp Web’in numara doğrulama davranışına dair önemli teknik içgörüler sunmaktadır.