في واقعة تُعد من أخطر حوادث اختراق الخصوصية في تاريخ تطبيقات التواصل، كشف باحثون في الأمن السيبراني بجامعة فيينا عن ثغرة كارثية داخل تطبيق “واتساب” أدّت — حتى وقت قريب — إلى كشف أرقام هواتف المستخدمين وصور ملفاتهم الشخصية دون علمهم، وبطريقة وصفها الخبراء بـ “السهلة والمرعبة في آن واحد”.
ثغرة أمنيّة منذ 2017… والعالم لم يكن يعلم
وفق التقرير البحثي الصادر حديثًا، فإن الخلل موجود منذ عام 2017 على الأقل داخل ميزة “اكتشاف جهات الاتصال”، وهي الأداة التي يستخدمها واتساب للتحقق من الأرقام المسجلة واستخراج الحسابات النشطة. المشكلة الأساسية كانت غياب أي قيود على معدل الطلبات (Rate Limiting)، ما سمح نظريًا — وعمليًا — بإجراء ملايين عمليات الفحص في الساعة.

الباحثون تمكنوا بالفعل من استخراج 3.5 مليار رقم هاتف، إلى جانب صور الملفات الشخصية والنصوص التعريفية المرتبطة بالحسابات، وذلك عبر تقنية بسيطة تعتمد على إرسال استعلامات متتالية، معتمدة على آلية واتساب نفسها في فحص وجود الرقم.

أكبر تسريب محتمل في تاريخ الإنترنت
وصف الباحثون هذه الثغرة بأنها كانت قد تؤدي إلى “أكبر عملية تسريب بيانات في التاريخ” لو وصلت إلى أطراف خبيثة. الأخطر أن عملية السحب لم تكن تستهدف منطقة واحدة، بل شملت أرقامًا في دول مختلفة، بما في ذلك دول محظور فيها استخدام واتساب مثل:
الصين – إيران – ميانمار – كوريا الشمالية
ما يجعل الثغرة تهديدًا مباشرًا لمستخدمي التطبيق في مناطق حساسة.

57% من الحسابات مكشوفة بالصور… و29% ببيانات الحالة
الدراسة أوضحت أن:

57% من الحسابات التي تم فحصها كانت صور ملفاتها الشخصية ظاهرة بالكامل.

29% كانت عبارات الحالة النصية مرئية دون أي حماية.

السحب تم عبر واجهة واتساب ويب التي سمحت بإرسال طلبات اكتشاف جهات الاتصال على نطاق واسع دون أي تدخل من النظام.

رد ميتا: “لا يوجد دليل على إساءة الاستغلال”… لكن المشكلة حقيقية
شركة ميتا، المالكة لواتساب، اعترفت بوجود الثغرة لكنها وصفتها بأنها “نتيجة قرار تصميمي لم تُدرك تبعاته”.
وقال نيتين غوبتا، نائب رئيس هندسة واتساب، إن الدراسة ساعدت الشركة على تعزيز دفاعاتها ضد السحب الآلي للبيانات، مؤكدًا أنه لا يوجد دليل على أن الثغرة استُغلت بشكل ضار.

الشركة أعلنت أنها أغلقت الفجوة الأمنية بعد إضافة حد لمعدل الطلبات، وأن البيانات المكشوفة كانت من “البيانات العامة” المسموح بظهورها أصلًا.

الباحثون: “أبلغنا ميتا… وحذفنا قاعدة البيانات”
الفريق البحثي أكد أنه تواصل مع ميتا فورًا بعد اكتشاف حجم المشكلة، ثم قام بحذف قاعدة البيانات بالكامل.
لكن الشركة احتاجت ستة أشهر كاملة لإصلاح الثغرة وفرض قيود تمنع تكرارها.