كشف باحثون متخصصون في مجال الأمن السيبراني عن وجود نقطة ضعف خطيرة في تطبيق واتساب، كانت تهدد خصوصية المستخدمين بشكل كبير، حيث سمحت بتسريب أرقام الهواتف وصور الملفات الشخصية دون علم أصحابها، وذلك حتى وقت قريب.
وبحسب الفريق البحثي من جامعة فيينا، يعود سبب هذا الخلل إلى عدم وجود قيود كافية على عدد الطلبات المرسلة عبر أداة “اكتشاف جهات الاتصال”، مما فتح الباب أمام إمكانية جمع أرقام هواتف غالبية مستخدمي واتساب، بالإضافة إلى صور ملفاتهم الشخصية.
### ثغرة واتساب تهدد خصوصية مليارات المستخدمين
استطاع الباحثون استخراج ما يقارب 3.5 مليار رقم هاتف باستخدام تقنية بسيطة، وذلك من خلال استغلال آلية واتساب في التحقق من الأرقام المسجلة، ويوضح الباحثون أن التطبيق لم يفرض أي قيود على عدد عمليات الفحص التي يمكن للمستخدم الواحد إجراؤها، مما سمح بتنفيذ ملايين الاستعلامات في الساعة دون أي تنبيه أو منع، الأمر الذي سهل عملية اختبار نطاقات واسعة من الأرقام، وجمع بيانات الحسابات النشطة، وصور الملفات الشخصية، والنصوص التعريفية المرتبطة بها.
وحذر الباحثون من أن هذه الثغرة، التي كانت موجودة منذ عام 2017 على الأقل، كانت قادرة على التسبب في “أكبر عملية تسريب بيانات في التاريخ” إذا ما تم استغلالها من قبل جهات خبيثة، كما أشاروا إلى أن ميزة “اكتشاف جهات الاتصال”، التي صممت لتسهيل عملية العثور على الأشخاص من خلال مزامنة دفتر العناوين، فتحت الباب عن غير قصد لجمع بيانات المستخدمين على نطاق واسع.
في المقابل، علقت شركة ميتا، المالكة لتطبيق واتساب، مؤكدة وجود الثغرة، لكنها أوضحت أنها نتجت عن “قرار تصميمي لم يلتفت لتداعياته”، وصرح نيتين غوبتا، نائب رئيس هندسة واتساب، لمجلة Wired قائلًا: “الدراسة ساعدت في اختبار وتعزيز منظومة الدفاع الجديدة ضد عمليات السحب الآلي للبيانات، ولم نجد أي دليل على إساءة استغلال هذا المسار، وتظل رسائل المستخدمين مشفرة بالكامل، ولم يحصل الباحثون على أي بيانات غير معلنة”.
أوضحت ميتا أنها قامت بإصلاح الخلل من خلال إضافة حد لعدد الطلبات التي يمكن من خلالها التحقق من وجود رقم على واتساب، مشيرة إلى أن البيانات المكشوفة كانت “عامة” مثل أرقام الهواتف وصور الملفات المتاحة للعموم.
### تفاصيل أعمق حول استغلال الثغرة
أكد الباحثون أن استخدامهم لواجهة واتساب ويب مكنهم من إرسال طلبات اكتشاف جهات اتصال على نطاق واسع، مما سمح بجمع ملايين السجلات كل ساعة، وكشفوا أن 57% من الحسابات التي تم رصدها كانت صور ملفاتها الشخصية متاحة للعامة، فيما كانت حالة الحساب النصية مرئية لدى 29% منها.
الأمر الأكثر خطورة هو أن التقنية نجحت حتى في دول محظور فيها استخدام واتساب، مثل الصين وإيران وميانمار وكوريا الشمالية، مما قد يعرض مستخدميه هناك للخطر.
وأفاد الباحثون بأنهم قاموا بإبلاغ شركة ميتا فور اكتشاف حجم المشكلة، ثم قاموا بحذف قاعدة البيانات بعد انتهاء الدراسة، بينما احتاجت الشركة حوالي 6 أشهر لإصلاح الثغرة وفرض القيود الجديدة.