كشف فريق من الباحثين في النمسا عن ثغرة خطيرة في آلية "البحث عن جهات الاتصال" في واتساب، مكّنتهم من جمع 3.5 مليار رقم هاتف نشط عبر العالم — ما يعادل أرقام نصف سكان الكوكب تقريباً.وبحسب الفريق، لو لم تُجمع هذه البيانات في إطار دراسة أكاديمية، لُعدّت أكبر عملية تسريب بيانات في التاريخ.
ما هو نوع البيانات الذي تم كشفه؟
الدراسة أثبتت أن الثغرة سمحت بكشف معلومات أساسية متاحة علناً، منها:
رقم الهاتف المرتبط بالحساب
آخر وقت نشاط
نص الحالة (About)
صور الملف الشخصي
مفاتيح التشفير العامة (وليست خاصة)
المهم: لم يتم الوصول إلى الرسائل أو محتوى المحادثات إطلاقاً.
كيف اكتُشفت الثغرة؟
اعتمد الباحثون على عميل تقني معكوس الهندسة يسمى whatsmeow، واستخدموا بروتوكول XMPP الداخلي لواتساب بدلاً من التطبيق الرسمي.ومن خلال خادم واحد و5 جلسات فقط:
أجروا 7,000 طلب تحقق بالثانية
فحصوا أرقاماً من 245 دولة
ولم يتلقوا أي حظر أو تحذير من واتساب
ما سمح لهم ببناء دليل عالمي للمستخدمين يشبه خريطة ديموغرافية دقيقة للمنصة.
حتى الدول المحجوبة ظهرت في النتائج
رغم الحظر التقني، تم العثور على:
2.3 مليون مستخدم في الصين
1.6 مليون في ميانمار
59 مليون مستخدم في إيران
5 مستخدمين في كوريا الشمالية
ما يثبت استمرار استخدام التطبيق بطرق بديلة.
رد شركة ميتا
أقرّت ميتا بوجود الثغرة، لكنها قالت إن البيانات التي جُمعت هي بيانات عامة أصلاً يمكن لأي شخص رؤيتها إذا لم يغيّر المستخدم إعدادات الخصوصية.وأكدت الشركة:
لم يتم كشف أي بيانات غير معلنة
الرسائل بقيت مشفرة بالكامل
لا وجود لأدلة على استغلال هذه الثغرة من جهات خبيثة
تم تشديد قيود منع السحب الآلي بعد الدراسة
بمعنى آخر: تم كشف أرقام وصور علنية أصلاً — لا رسائل ولا محادثات ولا بيانات خاصة.
ثغرة علنية... فماذا عن غير المعلن؟
رغم تطمينات الشركة، يظل الكشف عن ثغرة بهذا الحجم مثيراً للتساؤلات حول مدى أمان التطبيقات في حماية الصور والرسائل الخاصة. فإذا كانت هذه الثغرة قد ظهرت للعلن ضمن دراسة أكاديمية، فلا أحد يعلم ما إذا كانت هناك ثغرات أكبر لم تُكتشف بعد، أو ربما تستغلها جهات مؤسسية “وراء الستار” أو أفراد دون معرفة المستخدمين. وهو ما يجدد النقاش حول هشاشة التطبيقات.
