المشهد اليمني

ثغرة أمنية خطيرة تضرب واتساب وتُسرب أرقام كافة المشتركين

الأربعاء 19 نوفمبر 2025 03:03 مـ 29 جمادى أول 1447 هـ
ثغرة أمنية خطيرة تضرب واتساب وتُسرب أرقام كافة المشتركين

كشف فريق بحثي من جامعة فيينا عن ثغرة خطيرة في ميزة "اكتشاف جهات الاتصال" بتطبيق واتساب، سمحت لهم بجمع بيانات هائلة شملت أرقام هواتف وصور ملفات شخصية ونصوص حالة لمليارات المستخدمين. وقد أشار الباحثون إلى أن هذه الحادثة، لولا كونها جزءاً من دراسة أكاديمية مسؤولة، لكانت أكبر عملية كشف بيانات للمستخدمين في التاريخ.

الثغرة تعتمد على آلية "تعداد" رقمي (Enumeration) استغلت طريقة عمل ميزة "اكتشاف جهات الاتصال" في واتساب، حيث اعتمد الباحثون على النسخة المخصصة للمتصفح من واتساب (WhatsApp Web).

و لم تكن هذه النسخة تحتوي على قيود على معدل الطلبات (Rate Limiting) أو معايير فعالة لمكافحة الفحص التلقائي.

وتمكن الباحثون من إرسال عشرات المليارات من الطلبات للتحقق من أرقام الهواتف، مما أتاح لهم التحقق من 100 مليون رقم خلال ساعة واحدة فقط.

ونجح الباحثون في جمع بيانات المليارات من المستخدمين دون أي آلية حماية فعالة، وكانت النتائج كالتالي:

نوع البيانات العدد/النسبة المئوية
أرقام الهواتف النشطة 3.5 مليار رقم
الحسابات التي تعرض صور الملف الشخصي علناً 57% من الحسابات
المستخدمون الذين يتركون نص الحالة ("About") متاحاً للجميع 29% من المستخدمين

وأبلغ الفريق شركة ميتا بالثغرة في أبريل الماضي. وقامت ميتا في أكتوبر بتطبيق آلية "الحد من معدل الطلبات" لمنع الفحص التلقائي.

و قالت ميتا إنها لم ترصد أي استغلال خبيث، وأن المعلومات التي ظهرت كانت "أساسية ومتاحة للعامة" وفق إعدادات الخصوصية الافتراضية للمستخدمين. وأكدت على أن الرسائل تظل آمنة ومشفرة.

وتشير الدراسة إلى أن هذه ليست المرة الأولى التي يتم فيها التحذير من هذه الإمكانية، حيث نبه باحث هولندي إلى نفس التقنية في عام 2017، لكن فيسبوك (ميتا لاحقاً) رفضت اعتبار الأمر ثغرة أمنية، واكتفت بالإشارة إلى إعدادات الخصوصية.

وأظهرت البيانات أن الثغرة شكلت خطراً كبيراً على مستخدمين في دول تحظر التطبيق، حيث كان من الممكن للحكومات تتبعهم، ففي الصين تم اكتشاف 2.3 مليون مستخدم، كما تم اكتشاف 1.6 مليون شخص في ميانمار.

وخلص الباحثون إلى أن الاعتماد على رقم الهاتف كمعرّف أساسي لمليارات المستخدمين يمثل مشكلة جوهرية وأساسية، لأنه ليس عشوائياً بما يكفي ليكون وسيلة آمنة لتحديد الهوية.

وأشار الباحثون إلى مفاجأتهم بوجود تكرار غير طبيعي لمفاتيح التشفير، ورجحوا أن السبب يعود إلى استخدام "عملاء غير رسميين" لواتساب، والتي غالباً ما تستخدمها شبكات الاحتيال.

يُذكر أن واتساب بدأ حالياً في تجربة ميزة اسم المستخدم كبديل محتمل قد يوفر حماية أكبر للخصوصية.