فيينا-سانا
كشف باحثون في الأمن السيبراني من جامعة فيينا بالنمسا أن ثغرة في تطبيق التراسل الفوري “واتساب” أدت إلى تسريب بيانات 3.5 مليارات حساب.
ونقل موقع سكاي نيوز عن الباحثين قولهم في تقرير أمني نشره موقع الجامعة، بالتعاون مع مؤسسة SBA Research: إن “آلية اكتشاف جهات الاتصال” داخل التطبيق تسببت في تسريب مليارات البيانات، مؤكدين أن شركة “ميتا” عالجت الثغرة بعد إبلاغ الفريق عنها.
وتعتمد آلية اكتشاف جهات الاتصال في تطبيق “واتساب” على استخدام دفاتر عناوين المستخدمين للعثور على مستخدمين آخرين عبر أرقام هواتفهم.
ولفت الباحثون إلى أنهم استخدموا الآلية نفسها لإجراء عدد ضخم من الاستعلامات تجاوز الـ 100 مليون رقم هاتف في الساعة عبر بنية واتساب التحتية، ما سمح لهم بالوصول إلى بيانات أكثر من 3.5 مليارات حساب نشط في 245 دولة.
بدوره بين الباحث الرئيسي غابريال غيغنهوبر أنه “لا ينبغي لأي نظام أن يستجيب لعدد هائل من الطلبات في وقت قصير، وخصوصاً عندما يأتي من مصدر واحد”، مضيفاً: إن “هذا السلوك كشف العيب الأساسي الذي سمح لنا بإرسال عدد محدود من الطلبات للخادم وبالتالي رسم خريطة لبيانات المستخدمين حول العالم”.
وتشمل البيانات التي تتيح الثغرة الوصول إليها المعلومات نفسها المتاحة لأي مستخدم يعرف رقم هاتف المستخدم الآخر، وتشمل رقم الهاتف، المفاتيح العامة، الطوابع الزمنية، نص الحالة، وصورة الملف الشخصي.
وانطلاقاً من هذه البيانات، تمكن الباحثون من تحديد نظام تشغيل المستخدم، عمر الحساب، وعدد الأجهزة المرتبطة به.
وأكد الباحثون أن هذه البيانات، رغم محدوديتها، إلا أنها مكنت من كشف أنماط المستخدمين على المستويين الفردي والجماعي، منوهين في نفس التقرير إلى وجود ملايين الحسابات النشطة في دول تحظر فيها الخدمة رسمياً مثل الصين، وإيران، وميانمار.
وأظهر التقرير كذلك أن 81% من مستخدمي “واتساب” يستخدمون هواتف “آندرويد”، بينما يستخدم 19% هواتف “iOS”.
الباحثون بيّنوا أنهم تواصلوا مع الشركة الأم بعد اكتشاف الثغرة وتمكنت من إغلاقها، مشيرين إلى أن التجربة لم تتضمن أي محاولة للوصول إلى الرسائل، وإنهم لم ينشروا أو يشاركوا أي بيانات شخصية، مؤكدين أنهم حذفوا جميع البيانات التي جمعوها قبل نشر الدراسة.
يشار إلى أنه من المقرر عرض التقرير بالكامل خلال ندوة أمن الشبكات والأنظمة الموزعة لعام 2026.
وندوة أمن الشبكات والأنظمة الموزعة NDSS هي مؤتمر دولي علمي بارز يُعقد سنوياً، وتركز على أحدث الأبحاث والتطورات في مجال أمن المعلومات، والشبكات، والأنظمة الموزعة.
