ثغرة برمجية في واتساب تتيح كشف بيانات مليارات المستخدمين

فجّر باحثون متخصصون في الأمن السيبراني من النمسا مفاجأة من العيار الثقيل، كاشفين عن خلل جوهري في آلية عمل تطبيق "واتساب"، أتاح نظرياً إمكانية الوصول المباشر إلى بيانات قاعدة المستخدمين الكاملة للشركة.

وتشير الدراسة إلى أن المعلومات الخاصة بنحو 3.5 مليار مستخدم حول العالم كانت، ولفترة طويلة، عرضة للكشف والاستغلال، في واقعة تسلط الضوء مجدداً على هشاشة الخصوصية الرقمية في عصر منصات التواصل الاجتماعي العملاقة.

وتكمن خطورة هذا الاكتشاف في بساطته الشديدة التي لا تتطلب عقولاً إجرامية فذة، إذ يعتمد الأمر بالكامل على آلية "إضافة جهات الاتصال" التي يوفرها التطبيق لربط الناس ببعضهم، والتي تحولت إلى ثغرة تسمح بمسح شامل للأرقام.

سهولة مرعبة

أوضح الفريق البحثي أن العملية لم تكن بحاجة إلى أدوات اختراق معقدة أو برمجيات خبيثة متطورة، بل اعتمدت ببساطة على استغلال واجهة "واتساب ويب" المتاحة للجميع، وتوظيفها لاستخراج البيانات بشكل آلي ومكثف.

وقد أثبت الباحثون إمكانية التحقق من وجود أي رقم هاتف ضمن قاعدة بيانات التطبيق بمجرد إدخاله، وهو ما سمح لهم بتشغيل نصوص برمجية تقوم بتجربة ملايين الأرقام العشوائية والمتسلسلة للتأكد من نشاطها.

ولم يتوقف الأمر عند مجرد معرفة الأرقام النشطة، بل تجاوز ذلك إلى سحب البيانات المرفقة بها، حيث تمكن الفريق من جمع صور الملفات الشخصية لنحو 57% من الحسابات التي تم فحصها، بدقة عالية ووضوح تام.

كما طال هذا الانكشاف النصوص التعريفية (Bio) أو الحالة الخاصة بالمستخدمين، حيث نجح الباحثون في أرشفة المعلومات النصية الظاهرة في ملفات نحو 29% من الحسابات، مما يشكل قاعدة بيانات دسمة لشركات الإعلانات أو الجهات الاحتيالية.

والمثير للذهول هو السرعة القياسية التي تمت بها هذه العملية، إذ استطاع الفريق اختبار وفحص ما يقارب 100 مليون رقم هاتف في الساعة الواحدة خلال العام الجاري، مستغلين غياب الحواجز الرقمية التي تمنع مثل هذا النشاط المكثف.

صمت مريب

ولعل الجانب الأكثر إثارة للجدل في هذه القضية ليس الثغرة بحد ذاتها، بل توقيت العلم بها، حيث تشير التقارير إلى أن شركة "ميتا" المالكة للتطبيق كانت على دراية بهذه المشكلة التقنية منذ عام 2017، أي قبل سبع سنوات كاملة.

ورغم علم الشركة القديم، إلا أنها لم تتخذ أي إجراءات فعلية لسد هذه الفجوة طوال تلك السنوات، مما ترك الباب مفتوحاً على مصراعيه أمام إمكانية استغلال البيانات من قبل جهات خارجية، سواء لأغراض تسويقية أو أمنية.

وقد أعاد الباحثون طرق أبواب الشركة مجدداً في شهر أبريل الماضي، مقدمين أدلة دامغة على استمرار المشكلة، إلا أن الاستجابة لم تكن فورية، بل استغرقت عدة أشهر إضافية قبل أن تتحرك الإدارة التقنية للتطبيق.

ولم تبدأ "ميتا" في تطبيق نظام حماية يحد من عمليات البحث المتكررة والسريعة إلا في شهر أكتوبر، ما يعني أن الثغرة ظلت نشطة ومتاحة للاستغلال طوال الأشهر الماضية، ولسنوات قبل ذلك، دون وجود رادع حقيقي.

تبرير الشركة

وفي ردها على هذه النتائج المقلقة، حاولت شركة "ميتا" التقليل من حجم المخاطر المترتبة على هذا الاكتشاف، متبنية موقفاً دفاعياً يستند إلى طبيعة البيانات التي تم الوصول إليها، واصفة إياها بأنها "معلومات عامة".

وأشارت الشركة في تبريرها إلى أن صور الملفات الشخصية والنصوص التعريفية التي جمعها الباحثون هي في الأصل بيانات اختار أصحابها عدم إخفائها، وبالتالي فهي متاحة لأي شخص يمتلك رقم الهاتف، ولا يعتبر ذلك اختراقاً للخصوصية بالمفهوم التقني.

كما شددت إدارة التطبيق على أنها لم ترصد أي أدلة ملموسة تشير إلى إساءة استخدام واسعة النطاق لهذه الثغرة من قبل جهات خبيثة، مؤكدة أن الباحثين لم يتمكنوا من الوصول إلى أي بيانات "خاصة" أو مخفية بإعدادات الخصوصية.