ثغرة واتساب تكشف مليارات أرقام المستخدمين حول العالم بسهولة

أظهرت دراسة بحثية حديثة أن ميزة اكتشاف جهات الاتصال في واتساب، التي تهدف لمعرفة ما إذا كان أي رقم مسجلاً على المنصة، تحولت إلى ثغرة ضخمة.

وتمكن باحثون من جامعة فيينا النمساوية من جمع أرقام 3.5 مليار مستخدم حول العالم، إلى جانب صور ملفاتهم الشخصية والنصوص التعريفية في عدد كبير من الحالات، ويشير الباحثون إلى أن العملية استغرقت وقتًا قصيرًا بسبب غياب القيود على عدد المحاولات أو سرعتها.

اعتمد الفريق ببساطة على تجربة كل رقم محتمل عبر نسخة سطح المكتب، وتمكن من فحص نحو 100 مليون رقم في الساعة، ما أتاح لهم إنشاء قاعدة بيانات ضخمة، ووصفوا هذه العملية بأنها “أوسع عملية موثقة لكشف أرقام الهواتف وبيانات المستخدمين المرتبطة بها”، وأكد أليوشا جودماير، أحد الباحثين، أن هذا الإنجاز يعد الأكبر من نوعه حتى الآن.

بيانات مكشوفة

كشف الباحثون أنهم تمكنوا من الحصول على صور ملفات شخصية لـ57% من المستخدمين، بالإضافة إلى النصوص التعريفية لـ29% منهم، وأبلغ الفريق شركة ميتا بالثغرة في أبريل الماضي، وتم تطبيق إصلاح في أكتوبر لمنع التكرار الجماعي لعمليات البحث، إلا قبل ذلك الإصلاح، كان بإمكان أي جهة استغلال الطريقة لجمع بيانات المستخدمين في مختلف الدول، بما يشمل الدول التي يحظر فيها واتساب، مثل الصين وميانمار، حيث عُثر على ملايين الأرقام هناك، ما قد يتيح تعقب الأشخاص بشكل غير قانوني.

تشير الدراسة إلى أن ملايين الصور والنصوص كانت مكشوفة لسنوات، وشدد الباحثون على غياب أي دفاعات تقنية من واتساب أثناء العملية، رغم أن التحذيرات المتعلقة بهذه الثغرة تعود إلى عام 2017، حين نبّه باحث هولندي إلى إمكانية استخراج أرقام المستخدمين وصورهم وأوقات الاتصال، ولم تُطبق قيود كافية طوال السنوات الماضية.

التباين الدولي

كشف التحليل عن تفاوت كبير بين الدول في الالتزام بإعدادات الخصوصية، ووجد الباحثون أن 44% من المستخدمين الأمريكيين الذين ظهرت أرقامهم يعرضون صورهم الشخصية، بينما تصل النسبة إلى 62% في الهند و61% في البرازيل، وهي من أكبر أسواق واتساب عالمياً.

وأشار الفريق أيضًا إلى وجود مفاتيح تشفير مكررة غير عادية، وبعضها يُستخدم مئات المرات، إلى جانب أرقام أمريكية تعتمد على مفتاح مكوّن من أصفار فقط، وربط الباحثون ذلك باستخدام تطبيقات غير رسمية للواتساب.

مشكلة جوهرية

يؤكد الباحثون أن الأزمة تكشف عن ضعف أساسي في الاعتماد على أرقام الهواتف كمعرّف رئيسي لمليارات المستخدمين، ويشيرون إلى أن استخدام أرقام الهواتف يجعل أي ثغرة في آلية اكتشاف الحسابات تهدد خصوصية المستخدمين بشكل بالغ.

ويعد اقتراح استخدام أسماء المستخدمين بديلاً أكثر أمانًا خطوة محتملة لتقليل المخاطر المرتبطة بالأرقام، ويظل التحدي الحقيقي هو إيجاد توازن بين المزايا التقنية وحماية البيانات الشخصية في منصة عالمية منتشرة بهذا الحجم.