كشف باحثون من جامعة فيينا عن ثغرة أمنية في ميزة “اكتشاف جهات الاتصال” في تطبيق واتساب تتيح تسريب أرقام هواتف وصور ملفات شخصية ونصوص حالة لمليارات المستخدمين؛ هذه الثغرة الأمنية الخطيرة تعكس هشاشة النظام الحالي وتعكس أهمية البحث في حماية خصوصيات المستخدمين بشكل أفضل.
كيف استُغلت الثغرة الأمنية في ميزة اكتشاف جهات الاتصال في واتساب؟
تقوم الثغرة على تقنية تُعرف بـ “التعداد الرقمي” (Enumeration) التي استغل بها الباحثون طريقة عمل ميزة “اكتشاف جهات الاتصال” في نسخة واتساب المخصصة للويب (WhatsApp Web)، حيث أن النسخة لا تحتوي على آليات فعالة لـ “الحد من معدل الطلبات” أو حماية من الفحص الآلي المتكرر؛ ما أتاح إمكانية إرسال عشرات المليارات من الطلبات بشكل متسلسل، وتمكن الفريق من التحقق من 100 مليون رقم هاتف خلال ساعة واحدة فقط، وسط غياب تام لأي حواجز تفتيش، مما سهل جمع بيانات هائلة دون رصد أو اعتراض.
بيانات المستخدمين المكشوفة نتيجة الثغرة الأمنية في واتساب وتأثيرها
تمكن الباحثون عبر هذه الثغرة الأمنية في واتساب من جمع ثلاث مجموعات رئيسية من البيانات الشخصية:
| نوع البيانات | العدد/النسبة المئوية |
|---|---|
| أرقام الهواتف النشطة | 3.5 مليار رقم |
| الحسابات التي تعرض صور الملف الشخصي علناً | 57% من الحسابات |
| المستخدمون الذين يقدمون نص الحالة (“About”) للجميع | 29% من المستخدمين |
هذه الأرقام الضخمة تبرز حجم الخطر الذي تعرض له مستخدمو واتساب، خاصة في الدول التي تفرض حظرًا على التطبيق.
رد فعل ميتا وتداعيات الثغرة الأمنية على حماية بيانات واتساب
أبلغ فريق الجامعة شركة ميتا بالثغرة في أبريل، وحصل جدل واسع حول التعامل معها، حيث أطلقت ميتا في أكتوبر آلية “الحد من معدل الطلبات” للحد من عمليات الفحص الآلي، مؤكدة عدم وجود استغلال خبيث وأن المعلومات المكشوفة كانت متاحة وفق إعدادات الخصوصية الافتراضية، كما شددت على أن الرسائل تبقى مشفرة وآمنة؛ لكن الباحثين رأوا أن الاعتماد الكامل على رقم الهاتف كمُعرف هو عائق خطير، نظرًا لعدم عشوائية الرقم وصلاحيته لتحديد الهوية، بالإضافة لاكتشاف تكرار غير طبيعي لمفاتيح التشفير مرتبط باستخدام “عملاء غير رسميين” لواتساب.
هذه الثغرة كانت واضحة سنوات مضت عندما نبه باحث هولندي إلى إمكانية استغلال التقنية ذاتها في 2017، لكن الشركة لم تعترف بأنها ثغرة أمنية آنذاك، بل اكتفت بالتركيز على إعدادات الخصوصية؛ واليوم، يجري واتساب تجارب على ميزة اسم المستخدم كبديل يهدف إلى تعزيز الخصوصية وتقليل المخاطر المرتبطة بتسريب أرقام الهواتف بشكل مباشر.
يُعد هذا الانكشاف تحذيراً صارخاً عن أهمية مراجعة آليات الحماية في التطبيقات واسعة الانتشار، خاصة تلك التي ترتبط بتواصل المستخدمين حول العالم.
