ثغرة في واتساب تكشف 3.5 مليار رقم هاتف حول العالم.. ما القصة؟

  • تاريخ النشر: منذ ساعة زمن القراءة: 3 دقائق قراءة

باحثون: أكبر كشف لبيانات مستخدمي التطبيق على الإطلاق

مقالات ذات صلة
سرقة أكثر من 487 مليون رقم هاتف لحسابات واتسآب
خاصية قادمة مفيدة من واتسآب لمن يقوم بتغيير رقمه أو هاتفه
واتساب يطور تطبيقا جديدا لا يحتاج إلى رقم الهاتف المحمول.. تعرفوا عليه

كشف فريق بحثي من جامعة فيينا عن ثغرة خطيرة في ميزة “اكتشاف جهات الاتصال” داخل تطبيق واتساب، سمحت بجمع 3.5 مليار رقم هاتف لمستخدمين حول العالم، إضافة إلى صور الملفات الشخصية ونصوص الحالة الخاصة بهم، في حادثة قد تُعدّ الأكبر من نوعها في تاريخ تسريب البيانات لو لم تتم ضمن دراسة أكاديمية.

ما هي الثغرة وكيف تم استغلالها؟

تعتمد آلية واتساب للتواصل على إضافة رقم الهاتف لمعرفة ما إذا كان مسجلًا على التطبيق، مع إظهار الاسم والصورة التعريفية في كثير من الأحيان.

هذه الآلية نفسها استخدمها الباحثون بشكل واسع، إذ أجروا عملية "تعداد" رقمي (Enumeration) شملت عشرات المليارات من الأرقام، ما مكّنهم من جمع بيانات المليارات من دون أي آلية فعالة للحد من الطلبات أو منع الفحص الجماعي.

ووفق الدراسة: 

  • تم الحصول على 3.5 مليار رقم هاتف نشط.
  • 57% من الحسابات كانت تعرض صور ملفاتها الشخصية علنًا.
  • 29% من المستخدمين كانوا يتركون نص الحالة (“About”) متاحًا للجميع.

قال الباحثون إن النسخة المخصصة للمتصفح من واتساب لم تكن تحتوي على معايير مكافحة الفحص التلقائي أو قيود على معدل الطلبات، ما أتاح لهم التحقق من 100 مليون رقم خلال ساعة واحدة فقط.

وذكروا في تقريرهم: "لو لم تكن هذه البيانات جمعت ضمن بحث مسؤول، لكانت أكبر عملية كشف لبيانات المستخدمين في التاريخ."

استجابة ميتا: إصلاح بعد التحذير

أبلغ فريق جامعة فيينا شركة ميتا بالثغرة في أبريل الماضي، وقام بحذف البيانات التي جمعها، وفي أكتوبر، طبقت الشركة آلية "الحد من معدل الطلبات" (Rate Limiting) لمنع أي فحص تلقائي مماثل.

وقالت ميتا في بيانها إنها لم ترصد أي استغلال خبيث للثغرة، وإن المعلومات التي ظهرت كانت "أساسية ومتاحة للعامة" في حال لم يغيّر المستخدم إعدادات الخصوصية.

وأكدت الشركة أن رسائل المستخدمين بقيت آمنة ومشفرة بالكامل عبر التشفير من طرف إلى طرف.

تشير الدراسة إلى أن هذه ليست المرة الأولى التي يُحذَّر فيها واتساب من إمكانية جمع الأرقام بهذه الطريقة، ففي عام 2017، نبه باحث هولندي إلى أن نفس التقنية يمكن استخدامها للحصول على أرقام واتساب وصور الملفات ووقت ظهور المستخدم "متصلاً".

وقتها ردت فيسبوك (ميتا لاحقًا) بأن إعدادات الخصوصية تتيح للمستخدم التحكم في ما يظهر علنًا، ورفضت اعتبار ذلك ثغرة أمنية.

ملايين المستخدمين في دول تحظر واتساب كانوا مكشوفين

تُظهر البيانات التي جمعها فريق البحث أن ملايين المستخدمين يسجلون في واتساب رغم حظره في بعض الدول، ومنها:

  • 2.3 مليون مستخدم في الصين
  • 1.6 مليون مستخدم في ميانمار

وكان من الممكن —وفق الباحثين— أن تستغل حكومات هذه الدول هذه الثغرة لتتبع مستخدمين قد يتعرضون للملاحقة لمجرد استخدامهم التطبيق.

حلّل الباحثون مفاتيح التشفير الخاصة بالحسابات المكتشفة، وهي المفاتيح التي تستخدم لاستقبال الرسائل المشفرة. وفوجئوا بوجود تكرار غير طبيعي للمفاتيح، بعضها مستخدم مئات المرات، وهناك 20 رقماً أمريكياً استخدم مفتاحاً يتكون من أصفار فقط.

ويرجح الباحثون أن السبب يعود لاستخدام "عملاء غير رسميين" لواتساب، غالباً ما تعتمد عليها شبكات الاحتيال.

رقم الهاتف ليس معرفًا سريًا آمنًا

خلص الباحثون إلى أن الاعتماد على رقم الهاتف كمعرف أساسي لمليارات المستخدمين يمثل مشكلة جوهرية، لأن رقم الهاتف ليس عشوائيًا بما يكفي ليكون وسيلة آمنة لتحديد الهوية.

ويبدو أن واتساب بدأ يدرك هذه الإشكالية، إذ يجرب حالياً ميزة اسم المستخدم التي قد توفر حماية أكبر للخصوصية.

وقال الباحث أليوشا يودماير: "عندما يستخدم أكثر من ثلث سكان العالم خدمة تعتمد على رقم الهاتف كمعرّف رئيسي، فهذا يشكل خطراً حقيقياً."

مواضيع ذات صلة