كشف تقرير أمني عن وجود ثغرة خطيرة في آلية اكتشاف جهات الاتصال داخل تطبيق واتساب، أدت إلى تسريب بيانات وأرقام 3.5 مليار حساب نشط حول العالم.
وأفاد تقرير أعده فريق باحثين في أمن المعلومات بجامعة فيينا بالتعاون مع مؤسسة SBA Research بأن شركة ميتا، المالكة لواتساب، عالجت المشكلة بعد إبلاغها بها من جانب الفريق، ومن المقرر عرض التقرير كاملاً خلال ندوة أمن الشبكات والأنظمة الموزعة عام 2026.
كيف تم تسريب 3.5 مليار رقم هاتف من واتساب
تعتمد آلية اكتشاف جهات الاتصال في واتساب على مقارنة الأرقام الموجودة في دفتر عناوين المستخدم بقاعدة بيانات التطبيق لتحديد الحسابات المرتبطة بها.
وقال الباحثون إنهم استغلوا هذه الآلية لإجراء عدد ضخم من الاستعلامات تجاوز 100 مليون رقم في الساعة عبر بنية واتساب التحتية، ما مكّنهم من تأكيد وجود أكثر من 3.5 مليار حساب نشط في 245 دولة.
وأوضح الباحث الرئيسي جابرييل جيجنهوبر أن النظام لم يكن ينبغي أن يستجيب لهذه الكمية الهائلة من الطلبات خلال فترة قصيرة، خاصة عند صدورها من مصدر واحد. وبيّن أن هذا السلوك كشف عن الخلل الذي جعل من الممكن إرسال عدد شبه غير محدود من الطلبات، مما أتاح رسم خريطة لحسابات المستخدمين على مستوى عالمي.
وأشارت الدراسة إلى أن البيانات التي تمكن الباحثون من الوصول إليها هي ذاتها المتاحة لأي مستخدم يعرف رقم هاتف الطرف الآخر. وتشمل رقم الهاتف والمفاتيح العامة والطوابع الزمنية ونص الحالة وصورة الملف الشخصي إذا كانت إعداداتها عامة.
حسابات نشطة رغم حظر واتساب
رغم محدودية المعلومات المتاحة، تمكّن الباحثون من استنتاج تفاصيل إضافية مثل نوع نظام التشغيل المستخدم، والعمر التقريبي للحساب، وعدد الأجهزة المرتبطة به.
وأوضحت الدراسة أن هذه البيانات البسيطة قادرة على كشف أنماط مهمة على المستويين الفردي والجماعي.
وكشفت النتائج عن وجود ملايين الحسابات النشطة في دول تُحظر فيها الخدمة رسمياً مثل الصين وإيران وميانمار.
كما أظهر التقرير اختلافات واسعة في أنماط الاستخدام عالمياً، من بينها سيطرة أجهزة أندرويد بنسبة 81 في المئة مقابل 19 في المئة لمستخدمي iOS، إضافة إلى تباينات في سلوك الخصوصية مثل استخدام الصور العامة ونصوص الحالة، وتغيرات في نمو عدد المستخدمين بين المناطق.
ورصد الباحثون حالات قليلة أعيد فيها استخدام مفاتيح التشفير عبر أجهزة أو أرقام مختلفة، ما قد يشير إلى مشكلات متعلقة بتطبيقات غير رسمية أو أنشطة احتيالية.
كما وجد الفريق أن نحو نصف الأرقام التي ظهرت في تسريب بيانات فيسبوك عام 2021، والتي بلغت 500 مليون رقم، لا تزال نشطة على واتساب، بما يعكس المخاطر المستمرة لتسريبات البيانات وإمكانية استغلالها في الاحتيال أو الاستهداف عبر الرسائل والمكالمات.
وأكد الباحثون أنهم لم يحاولوا الوصول إلى محتوى الرسائل، ولم يقوموا بمشاركة أي بيانات شخصية، وأن جميع البيانات التي جمعوها حُذفت بشكل آمن قبل نشر الدراسة، مشيرين إلى أن التشفير الطرفي لم يتأثر بالثغرة.
وأوضح الباحث أليوشا يودماير أن هذا النوع من التشفير يحمي محتوى الرسائل، لكنه لا يحمي بالضرورة البيانات الوصفية، مؤكداً أن تحليل هذه البيانات على نطاق واسع قد يكشف معلومات حساسة دون الحاجة للوصول إلى الرسائل.
واتساب: نعمل على أنظمة رائدة
من جانبها، أعربت شركة واتساب عن تقديرها لجهود الفريق الأمني. وقال نائب رئيس الهندسة في الشركة نيتين جوبتا إن التعاون ساعد في كشف تقنية تعداد جديدة تجاوزت الحدود المتوقعة، موضحاً أن الشركة كانت تعمل بالفعل على تطوير أنظمة متقدمة لمواجهة عمليات سحب البيانات.
وأضاف أن الدراسة ساعدت في اختبار فاعلية الأنظمة الجديدة بشكل مباشر.
وأكدت الشركة أن لا دليل على إساءة استخدام المسار الذي استُغل قبل اكتشاف الثغرة، وأن رسائل المستخدمين ظلت آمنة بفضل التشفير المتكامل، كما أن البيانات التي جمعها الباحثون حُذفت بالكامل وبصورة آمنة.
وكان فريق أمني قد اكتشف ثغرة في مجموعة من الخدمات الرقمية وعلى رأسها واتساب، تسمح للحكومات والجهات الأمنية بالتجسس على المعلومات المتعلقة بالمحادثات ومجموعات الدردشة وأنماط تفاعل المستخدمين، مما يهدد بكشف بيانات سرية مرتبطة بالمراسلات والمكالمات وأعضاء المجموعات.
ووفقاً لتقرير نشره موقع ذا إنترسبت، أجرى فريق أمن المعلومات في واتساب اختباراً موسعاً لمستوى أمان أنظمة وشبكات الخدمة، واكتشف ثغرة في نظام التشفير تتيح للوكالات الأمنية تجاوز الحماية والاطلاع على المعلومات المرتبطة بالمحادثات دون علم المستخدمين.
وتتمثل الثغرة في أسلوب مراقبة للشبكات يعرف باسم تحليل التحركات الرقمية، وهو يعتمد على مسح ومراقبة حركة البيانات عبر الإنترنت ضمن نطاق محلي يستهدف سكان دولة أو منطقة معينة.
