كشف تقرير أمني حديث عن ثغرة خطيرة في آلية اكتشاف جهات الاتصال داخل تطبيق واتساب، أدت إلى تسريب بيانات وأرقام 3.5 مليار حساب نشط حول العالم، في واحدة من أضخم الحوادث المرتبطة بتسريب بيانات المستخدمين عبر التطبيقات العالمية.

كيف حدث التسريب؟

تعتمد آلية اكتشاف جهات الاتصال في واتساب على مقارنة أرقام الهواتف داخل دفتر عناوين المستخدم بقواعد بيانات التطبيق لتحديد الحسابات المربوطة بهذه الأرقام. لكن فريقاً من الباحثين في جامعة فيينا بالتعاون مع SBA Research اكتشف إمكانية استغلال هذه الآلية عبر تنفيذ عدد ضخم من الاستعلامات تجاوز 100 مليون رقم في الساعة.

وأوضح الباحثون أن النظام “لم يكن يجب أن يستجيب لهذه الكمية الهائلة من الطلبات من مصدر واحد”، وأن هذا الخلل سمح لهم بتأكيد وجود 3.5 مليار حساب نشط عالمياً ورسم خريطة واسعة لبيانات مستخدمي واتساب.

ما البيانات التي تم كشفها؟

الدراسة أوضحت أن المعلومات التي كانت متاحة تشمل:
رقم الهاتف.
المفاتيح العامة.
الطوابع الزمنية.
نص الحالة “حول” وصورة الملف الشخصي إذا كانت ظاهرة للعامة.

لكن الباحثين أشاروا إلى أنهم تمكنوا من تحليل هذه البيانات لاستخلاص معلومات إضافية مثل:
نوع نظام التشغيل.
تقدير عمر الحساب.
عدد الأجهزة المرتبطة بالحساب.

حسابات نشطة في دول تحظر واتساب

أحد أهم الاكتشافات كان وجود ملايين الحسابات النشطة في دول تحظر واتساب رسمياً مثل الصين وإيران وميانمار.

كما وجد الفريق أن 81% من الحسابات تعمل على أندرويد مقابل 19% على iOS.

وتم رصد حالات قليلة لإعادة استخدام مفاتيح التشفير عبر أجهزة مختلفة، ما يشير إلى احتمال استخدام تطبيقات غير رسمية أو نشاطات احتيالية.

المخاطر الممتدة من تسريبات البيانات

من بين الملاحظات المثيرة أن نحو نصف أرقام الهواتف التي ظهرت في تسريب فيسبوك 2021 والتي بلغت 500 مليون رقم ما تزال نشطة على واتساب حتى الآن.

ويرى الباحثون أن هذه البيانات يمكن استخدامها في:
محاولات الاحتيال. الهجمات القائمة على تحليل الأنماط. استهداف المستخدمين عبر المكالمات أو الرسائل.

موقف واتساب: البيانات الأساسية آمنة والتشفير لم يتأثر

أكّد نيتين جوبتا، نائب رئيس الهندسة في واتساب، أن الشركة قدّرت جهود الباحثين، موضحاً أن الفريق كشف “تقنية تعداد جديدة تجاوزت الحدود المتوقعة”.

وأضاف أن واتساب كان يعمل بالفعل على أنظمة متقدمة لمواجهة عمليات سحب البيانات Data Scraping، وأن الدراسة ساعدت في اختبار فاعلية هذه الأنظمة.

وأكّد أن: لا دليل على سوء استخدام الثغرة قبل اكتشافها. محتوى الرسائل بقي آمناً بفضل التشفير الطرفي End-to-End Encryption. جميع البيانات التي جمعها الباحثون حُذفت بشكل آمن.

هل يمكن التجسس على واتساب؟

الدراسة أشارت إلى أن التشفير يحمي الرسائل، لكنه لا يحمي البيانات الوصفية Metadata، التي يمكن أن تكشف الكثير عن سلوك المستخدمين.

كما أعادت التقارير التذكير بثغرة أخرى اكتُشفت سابقاً في نظام التشفير سمحت ببعض حالات تحليل التحركات الرقمية Traffic Analysis، والتي قد تستخدمها بعض الحكومات لمراقبة حركة البيانات.

الثغرة لم تمس محتوى الرسائل، لكنها كشفت بيانات حساسة على نطاق عالمي. ومع أن واتساب عالج المشكلة، إلا أن الحادثة تؤكد هشاشة البيانات الوصفية وأن استغلالها قد يكشف معلومات بالغة الخطورة حتى في ظل التشفير الكامل للرسائل.

المصدر: الشرق