تسببت ثغرة في تطبيق "واتس اب" في تسريب بيانات وأرقام 3.5 مليار حساب نشط حول العالم، بحسب ما كشفه تقرير أمني في آلية "اكتشاف جهات الاتصال"، وأفاد تقرير نشره فريق باحثين في أمن المعلومات بجامعة فيينا في النمسا، بالتعاون مع مؤسسة SBA Research، بأن شركة "ميتا" التي تملك منصة واتساب، عالجت الثغرة بعد إبلاغها بها من جانب الفريق، ومن المقرر أن يعرض التقرير بالكامل خلال "ندوة أمن الشبكات والأنظمة الموزعة" (NDSS) عام 2026.

تعتمد آلية "اكتشاف جهات الاتصال" في واتساب على مقارنة أرقام الهواتف الموجودة في دفتر عناوين المستخدم بقاعدة بيانات التطبيق لتحديد الحسابات المرتبطة بها. وقال الباحثون إنهم استخدموا الآلية نفسها لإجراء عدد ضخم من الاستعلامات تجاوز 100 مليون رقم هاتف في الساعة عبر بنية واتساب التحتية، الأمر الذي سمح لهم بتأكيد وجود أكثر من 3.5 مليار حساب نشط في 245 دولة.

تختبر خدمة واتساب للتراسل الفوري مزايا جديدة تُسهّل على المستخدم إجراء المكالمات بواجهة خاصة ودون الحاجة إلى تسجيل رقم الشخص الآخر في جهات الاتصال.

أوضح الباحث الرئيسي، جابرييل جيجنهوبر، أن النظام "لا ينبغي أن يستجيب لمثل هذه الكمية الهائلة من الطلبات في وقت قصير، خصوصاً عندما تصدر من مصدر واحد"، مشيراً إلى أن هذا السلوك "كشف عن الخلل الأساسي الذي أتاح تقديم عدد غير محدود تقريباً من الطلبات، ما جعل من الممكن رسم خريطة لحسابات المستخدمين على نطاق عالمي".

وأشارت الدراسة إلى أن البيانات التي تمكّن الباحثون من الوصول إليها هي نفسها البيانات المتاحة لأي مستخدم يعرف رقم هاتف المستخدم الآخر، وتشمل رقم الهاتف، والمفاتيح العامة، والطوابع الزمنية، بالإضافة إلى نص الحالة "حول" وصورة الملف الشخصي إذا كانت إعداداتها مخصصة للظهور بشكل عام.

وأظهر التقرير اختلافات واسعة في أنماط الاستخدام على مستوى العالم، بينها سيطرة أجهزة "أندرويد" بنسبة 81% مقارنة بـ19% لمستخدمي "iOS"، إلى جانب تباينات في سلوك الخصوصية، مثل معدل استخدام الصور العامة أو نصوص الحالة العامة، وتغيّرات في نمو قاعدة المستخدمين في مناطق مختلفة.

ورصد الباحثون عدداً محدوداً من الحالات التي أُعيد فيها استخدام مفاتيح التشفير عبر أجهزة أو أرقام متعددة، وهو ما قد يشير إلى مشكلات محتملة مرتبطة بتطبيقات غير رسمية لواتساب أو بأنشطة احتيالية.

واكتشف الفريق الأمني أن ما يقرب من نصف أرقام لهواتف التي ظهرت في تسريب بيانات "فيسبوك" عام 2021 وبلغت نحو 500 مليون رقم، لا تزال نشطة على واتساب حتى الآن، الأمر الذي يعكس الأخطار الممتدة لعمليات تسريب البيانات، نظراً لإمكانية استخدامها في محاولات الاحتيال أو الاستهداف عبر المكالمات والرسائل.

وأكد الباحثون أن التجربة لم تتضمن أي محاولة للوصول إلى محتوى الرسائل، ولم تُنشَر أو تُشارك أي بيانات شخصية، وأنهم حذفوا جميع البيانات التي جمعوها بشكل آمن قبل نشر الدراسة، فيما بقي محتوى الرسائل محمياً بتقنية التشفير الطرفي التي لم تتأثر بالثغرة.

وأوضح الباحث أليوشا يودماير، أن هذا النوع من التشفير يحمي محتوى الرسائل، لكنه لا يحمي بالضرورة البيانات الوصفية المرافقة لها Metadata، مشيراً إلى أن تحليل البيانات على نطاق واسع ربما يكشف معلومات حساسة حتى دون الوصول إلى الرسائل نفسها.

من جانبها، أعربت شركة واتساب عن تقديرها لجهود الفريق الأمني، وقال نائب رئيس الهندسة بالشركة، نيتين جوبتا، إن التعاون "ساهم في الكشف عن تقنية تعداد جديدة تجاوزت الحدود التي نتوقعها"، مشيراً إلى أن الشركة كانت تعمل بالفعل على أنظمة رائدة لمواجهة عمليات سحب البيانات Data Scraping.

وأضاف أن الدراسة "لعبت دوراً أساسياً في اختبار فاعلية هذه الأنظمة الجديدة بشكل فوري".

وأكدت الشركة عدم وجود أي دليل يشير إلى إساءة استخدام المسار الذي استغلته الثغرة قبل الكشف عنها، وأن رسائل المستخدمين بقيت آمنة بفضل اعتماد التشفير المتكامل، كما أن البيانات التي جمعها الباحثون حُذفت بالكامل وبصورة آمنة.