كشف باحثون في الأمن السيبراني من جامعة “فيينا” بالنمسا عن وجود ثغرة خطيرة في تطبيق التراسل الفوري “واتساب” أدّت إلى تسرب بيانات 3.5 مليار حساب حول العالم، وذلك عبر استغلال خلل في “آلية اكتشاف جهات الاتصال” داخل التطبيق، قبل أن تتمكن شركة “ميتا” من معالجة المشكلة بعد إبلاغها بشكل رسمي.
وذكر الباحثون، في تقرير أمني نُشر بالتعاون مع مؤسسة SBA Research، أن آلية البحث في دفاتر عناوين المستخدمين التي يعتمد عليها واتساب للعثور على جهات الاتصال، سمحت لهم بإجراء عدد هائل من الاستعلامات تجاوز 100 مليون رقم هاتف في الساعة عبر بنية التطبيق، الأمر الذي مكّنهم من تأكيد وجود والوصول إلى بيانات أكثر من 3.5 مليار حساب نشط في 245 دولة.
وقال المؤلف الرئيسي للتقرير، غابريال غيغنهوبر، إن النظام “لم يكن يجب أن يستجيب لكمية ضخمة من الطلبات في وقت قصير، خصوصاً حين تأتي من مصدر واحد”، معتبراً أن هذا السلوك كشف “العيب الأساسي” الذي سمح لهم برسم خريطة واسعة لبيانات المستخدمين.
وقال الباحثون إنهم استخدموا الآلية نفسها لإجراء عدد ضخم من الاستعلامات تجاوز 100 مليون رقم هاتف في الساعة عبر بنية واتساب التحتية، ما سمح لهم بتأكيد وجود، والوصول إلى بيانات أكثر من 3.5 مليار حساب نشط في 245 دولة.
وقال المؤلف الرئيسي للتقرير، غابريال غيغنهوبر من جامعة فيينا: "لا ينبغي لأي نظام أن يستجيب لعدد هائل من الطلبات في وقت قصير، خصوصا عندما يأتي من مصدر واحد. هذا السلوك كشف العيب الأساسي الذي سمح لنا بإرسال عدد محدود من الطلبات للخادم وبالتالي رسم خريطة لبيانات المستخدمين حول العالم".
وتشمل البيانات التي تتيح الثغرة الوصول إليها المعلومات نفسها المتاحة لأي مستخدم يعرف رقم هاتف المستخدم الآخر، وتشمل: رقم الهاتف، المفاتيح العامة، الطوابع الزمنية، نص الحالة، وصورة الملف الشخصي.
وانطلاقا من هذه البيانات تمكن الباحثون من تحديد نظام تشغيل المستخدم، عمر الحساب، وعدد الأجهزة المرتبطة به.
وأكدوا أن هذه البيانات، رغم محدوديتها، إلا أنها مكنت من كشف أنماط المستخدمين على المستويين الفردي والجماعي.
وكشفت الدراسة أيضا وجود ملايين الحسابات النشطة في دول تحظر فيها الخدمة رسميا مثل الصين، وإيران، وميانمار.
وأظهر التقرير كذلك أن 81 بالمئة من مستخدمي "واتساب" يستخدمون هواتف "أندرويد"، بينما يستخدم 19 بالمئة هواتف "iOS".
وبعد اكتشاف الثغرة تواصل الباحثون مع الشركة الأم تمكنت من إغلاق الثغرة.
وقال الباحثون إن التجربة لم تتضمن أي محاولة للوصول إلى الرسائل، وإنهم لم ينشروا أو يشاركوا أي بيانات شخصية، مؤكدين أنهم حذفوا جميع البيانات التي جمعوها قبل نشر الدراسة.
ومن المقرر عرض التقرير بالكامل خلال ندوة أمن الشبكات والأنظمة الموزعة لعام 2026.
المحرر: حسين هادي