ثغرة في واتساب تكشف بيانات 3.5 مليارات مستخدم حول العالم

كشفت دراسة بحثية جديدة عن ثغرة خطيرة في ميزة اكتشاف جهات الاتصال في تطبيق واتساب، أتاحت للباحثين من جامعة فيينا جمع أرقام نحو 3.5 مليارات مستخدم حول العالم، إلى جانب صور ملفاتهم الشخصية والنصوص التعريفية الخاصة بهم في العديد من الحالات.

وبحسب فريق البحث، فقد اعتمدوا على تجربة كل رقم محتمل عبر النسخة المكتبية من واتساب، دون مواجهة أي قيود تحدّ من عدد المحاولات أو سرعتها. وتمكنوا من فحص ما يقارب 100 مليون رقم في الساعة، ما أتاح لهم بناء قاعدة بيانات هائلة وصفوها بأنها كانت قد تصبح “أكبر حادثة كشف بيانات مستخدمين في التاريخ” لولا أنها نُفذت ضمن إطار بحثي مسؤول.

وصرّح الباحث المشارك أليوشا جودماير بأن النتائج تمثل “أوسع عملية موثّقة لكشف أرقام الهواتف وبيانات المستخدمين المرتبطة بها”.

بيانات مكشوفة لسنوات

أظهرت الدراسة تمكن الفريق من استخراج صور الملفات الشخصية لـ 57% من المستخدمين الذين شملهم الفحص، إضافة إلى النصوص التعريفية لـ 29% منهم. وأبلغ الباحثون شركة ميتا بالثغرة في أبريل الماضي، لتقوم الشركة في أكتوبر بتطبيق آلية تمنع التكرار الجماعي لعمليات البحث.

لكن قبل هذا الإصلاح، كان بإمكان أي جهة استغلال الأسلوب نفسه لجمع بيانات مستخدمين من مختلف دول العالم، بما في ذلك الدول التي يُحظر فيها استخدام واتساب؛ إذ تمكن الباحثون من تحديد 2.3 مليون رقم في الصين و 1.6 مليون رقم في ميانمار، ما قد يتيح للجهات الحكومية هناك تتبّع المستخدمين سراً.

ميتا: البيانات الظاهرة “معلومات عامة”

في تصريح لمجلة WIRED، شكرت ميتا الفريق البحثي على الإبلاغ، وأكدت أن البيانات التي ظهرت تقتصر على “معلومات عامة أساسية”، إذ لا تظهر الصور والنصوص التعريفية إلا إذا سمح المستخدم بذلك. وشددت الشركة على أن التشفير التام للرسائل لم يتأثر، وأنها لم ترصد أي استغلال ضار للثغرة.

وأشار الباحثون إلى أنهم لم يواجهوا أي أنظمة حماية خلال العملية، مذكرين بأن التحذير من هذه الثغرة يعود إلى عام 2017 عندما نبّه باحث هولندي إلى إمكانية استخراج الأرقام والصور وأوقات الاتصال، لكن دون اتخاذ حلول جذرية طوال السنوات الماضية.

ملايين الصور المكشوفة وتفاوت بين الدول

أظهر تحليل إعدادات الخصوصية أن 44% من المستخدمين الأمريكيين الذين ظهرت أرقامهم يعرضون صورًا شخصية، مقابل 62% في الهند و61% في البرازيل، وهي من أكبر أسواق واتساب عالميًا.

كما فحص الباحثون مفاتيح التشفير المرتبطة بالحسابات المكتشفة، ووجدوا تكرارات غير معتادة بعضها مستخدم مئات المرات، إضافة إلى 20 رقمًا أمريكيًا تستخدم مفتاحًا مكونًا من أصفار فقط، مرجحين أن يكون السبب استخدام نسخ غير رسمية من واتساب ضمن شبكات الاحتيال الرقمي.

أزمة أعمق: رقم الهاتف ليس معرفًا آمنًا

قال الفريق إن هذه القضية تسلط الضوء على مشكلة جوهرية في الخدمات التي تعتمد على رقم الهاتف كمعرّف أساسي، إذ لا يُعد الرقم عشوائيًا بما يكفي ليكون وسيلة آمنة لمليارات المستخدمين. ويختبر واتساب حاليًا ميزة أسماء المستخدمين (Usernames) كخيار بديل أكثر أمانًا.

وختم الباحثون بالتحذير: “حين يعتمد أكثر من ثلث سكان العالم على رقم الهاتف كمعرّف، تصبح أي ثغرة في آلية اكتشاف الحسابات تهديدًا بالغًا للخصوصية”.

في المحصلة، تعكس هذه الواقعة هشاشة الخصوصية في تطبيقات التواصل الضخمة، مهما بلغت قوة بنيتها التقنية. وبينما يعمل واتساب على تطوير حلول مثل أسماء المستخدمين وتعزيز آليات الحماية، يبقى التحدي الأكبر هو تحقيق التوازن بين سهولة الاستخدام وأمان بيانات مليارات المستخدمين حول العالم.