ثغرة خطيرة فى واتساب تهدد تسريب أرقام وصور لمليارات المستخدمين.. من 2017

في صدمة مدوية، كشف باحثون أمنيون عن وجود ثغرة خطيرة في واتساب سمحت بجمع أرقام الهواتف وصور الملفات الشخصية لمليارات المستخدمين حول العالم، دون علمهم. ورغم أن ميتا — الشركة المالكة للتطبيق — تصفها بـ”الخلل”، إلا أن الأبحاث تشير إلى أنها مشكلة تصميمية ظلّت مهملة لسنوات طويلة.

تفاصيل الثغرة.. قاعدة بيانات تضم 3.5 مليار رقم
 

وقد كشف فريق بحثي من جامعة فيينا، أنه تمكن من جمع 3.5 مليار رقم هاتف بطريقة وصفها بـ”البسيطة”، مستغلًا ثغرة في ميزة اكتشاف جهات الاتصال داخل واتساب، وكانت المشكلة الأساسية في غياب أي حدود لعدد الاستعلامات، ما سمح لأي جهة بإجراء ملايين عمليات الفحص في الساعة دون تنبيه أو حظر.

باستخدام عملية مؤتمتة بالكامل، استطاع الباحثون التحقق من وجود أرقام على واتساب، ثم الوصول إلى صور الملفات الشخصية والنصوص التعريفية (Status) لعدد كبير من الحسابات.

وأكد الباحثون : "لو وقعت هذه الطريقة فى الأيدى الخطأ.. لكانت أكبر عملية تسريب بيانات في التاريخ".

الثغرة موجودة منذ 2017
 

الأخطر من ذلك أن هذه الثغرة — بحسب الفريق — كانت موجودة منذ عام 2017، رغم أن ميتا تلقت في السابق تنبيهات مشابهة، فميزة اكتشاف جهات الاتصال، التي تُفترض أنها تساعد المستخدمين على العثور على معارفهم، كانت تُستخدم بدلًا من ذلك في حصد بيانات ملايين الأشخاص عالميًا.

ميتا تعترف بالخطأ وتعلق بهذا الرد
 

في تصريح لمجلة Wired، قال نيتين جوبتا نائب رئيس هندسة واتساب:" إن الدراسة ساعدت في اختبار دفاعاتنا الجديدة ضد جمع البيانات، ولم نجد دليلًا على إساءة استخدامها.”

وأكدت ميتا أنها أصلحت المشكلة الآن عبر إضافة حدود لعدد الاستعلامات، موضحة أن البيانات التي تم الوصول إليها هي “بيانات عامة” مثل الرقم والصورة، وأن الرسائل بقيت مشفرة بالكامل.

كيف استغل الباحثون الثغرة؟
 

استخدم الفريق واتساب ويب لإرسال طلبات ضخمة لاكتشاف جهات الاتصال، مما مكّنهم من مسح ملايين الأرقام في الساعة.
ووفقًا لنتائجهم:

• 57% من الحسابات ظهرت لها صور شخصية
• 29% ظهرت لها نصوص تعريفية
• الثغرة عملت حتى في دول يحظر فيها واتساب مثل الصين وإيران وميانمار وكوريا الشمالية — ما يضع المستخدمين هناك في خطر إضافي.

ميتا استغرقت 6 أشهر لإصلاح الخلل 
 

أبلغ الباحثون ميتا بالثغرة، ثم حذفوا قاعدة البيانات بعد انتهاء الدراسة،  إلا أن التقرير يؤكد أن ميتا استغرقت ستة أشهر كاملة لإصلاح الخلل وتحديث النظام.

تكشف هذه الحادثة مدى هشاشة الخصوصية الرقمية، خاصة في التطبيقات التي تُستخدم يوميًا من مليارات الأشخاص، ورغم  وعود ميتا، فإن الواقعة تفتح تساؤلات حول مدى حماية المستخدمين، وكيف يمكن لتصميم بسيط مهمل أن يعرّض بيانات العالم كله للخطر.