ثغرة في واتساب تسهل الوصول لأرقام هواتف 3.5 مليار مستخدم
كشف فريق من الباحثين النمساويين عن ثغرة أمنية طويلة الأمد، في تطبيق التراسل الفوري الأشهر عالمياً، واتساب، مكنتهم من استخراج أرقام هواتف وبيانات جميع مستخدمي التطبيق البالغ عددهم 3.5 مليار مستخدم، في واقعة تسلط الضوء مجدداً على سياسات الخصوصية لدى شركة ميتا، المالكة للتطبيق.
أوضح الباحثون، كما نشرت مجلة wired، أن العملية لم تتطلب استخدام برمجيات اختراق معقدة أو ما يعرف بـ “سحر القبعات السوداء”، بل اعتمدت على آلية بسيطة ومتاحة للجميع ولكن تم تطبيقها على نطاق واسع.
وتتلخص الطريقة في استخدام نسخة واتساب للكمبيوتر، واتساب ويب، لإضافة مليارات الأرقام بشكل عشوائي، حيث يقوم التطبيق تلقائياً بتأكيد ما إذا كان الرقم مرتبطاً بحساب نشط، ومن ثم يعرض صورة الملف الشخصي والنص التعريفي للمستخدم.
ووفقاً لنتائج البحث، نجح الفريق في الوصول إلى:
- أرقام هواتف قاعدة مستخدمي واتساب بالكامل (3.5 مليار مستخدم).
- صور الملفات الشخصية لنحو 57% من المستخدمين.
- النصوص التعريفية Bio لنحو 29% من الحسابات.
وأشار التقرير إلى أن الباحثين تمكنوا من فحص ما يقرب من 100 مليون رقم هاتف في الساعة الواحدة في وقت سابق من العام الجاري.
والمثير للجدل أن شركة ميتا كانت قد تلقت تحذيرات بشأن هذه الثغرة المحددة من قبل باحث آخر منذ عام 2017، إلا أنها لم تتخذ أي إجراءات وقائية طوال تلك السنوات، مما ترك الباب مفتوحاً لاحتمالية استغلال هذه البيانات من قبل قراصنة أو جهات خبيثة لفترة طويلة.
- لا تستخدم واتساب على ويندوز 11 لهذا السبب “الكارثي”
- لأول مرة.. ميتا تضطر لفتح واتساب أمام تطبيقات تراسل خارجية
بعد قيام الفريق النمساوي بإخطار ميتا رسمياً بالمشكلة في شهر أبريل الماضي، قامت الشركة أخيراً بالتحرك، حيث طبقت في شهر أكتوبر إجراءات تقنية تعرف بـ “تقييد معدلات البحث – Rate-limiting”، وهي تقنية تمنع عمليات الفحص الجماعي السريع للأرقام، مما يضع حداً لعمليات اكتشاف جهات الاتصال على نطاق واسع.
رد الشركة وتطمينات للمستخدمين
في أول تعليق لها على الواقعة، قللت شركة ميتا من خطورة ما حدث، مؤكدة في بيان لها أن البيانات التي تم الوصول إليها تُصنف ضمن “المعلومات الأساسية المتاحة للجمهور”، وأوضحت الشركة أن المستخدمين الذين ضبطوا إعدادات الخصوصية لملفاتهم وصورهم لتكون “خاصة” لم تتأثر بياناتهم.
واختتمت الشركة ردها بطمأنة المستخدمين، قائلة: “لم نجد أي دليل على استغلال جهات خبيثة لهذه الثغرة، كما أن الباحثين لم يتمكنوا من الوصول إلى أي بيانات غير عامة”.
