ثغرة أمنية خطيرة تؤدي إلى تسريب بيانات 3.5 مليار حساب على واتساب.. كيف تم اكتشافها؟

اكتشف باحثون من جامعة فيينا ومركز SBA للأبحاث في النمسا، ثغرة خطيرة في آلية اكتشاف جهات الاتصال بتطبيق واتساب.

وأكدت جامعة فيينا في بيان عبر موقعها، أن شركة ميتا عالجت الخلل بعد تلقي بلاغ مسؤول من الفريق البحثي، حيث أظهرت الدراسة أن الثغرة سمحت بكشف موقع 3.5 مليار حساب في 245 دولة.

وأضافت الجامعة أن المسودة الأولية للدراسة قد أصبحت جاهزة، فيما سيتم نشر النتائج عبر ندوة أمن الشبكات والأنظمة الموزعة عام 2026.

سلوك غير طبيعي للنظام فتح الباب للتعداد الواسع

قال جابرييل جيجنهوبر المؤلف الرئيسي للدراسة: «كان النظام عادة لا يستجيب لعدد مرتفع من الطلبات في وقت قصير، خصوصاً إذا صدرت تلك الطلبات من مصدر واحد».

وحذر من أن الخلل قد مكن الفريق من إرسال عدد غير محدود تقريباً من الطلبات ورسم خريطة عالمية للحسابات النشطة.

ما هي البيانات التي كشفتها ثغرة واتساب؟

اعتمدت عملية الاستعلام على بيانات يتيحها المستخدم عند معرفة رقم هاتفه، وشملت الرقم، المفاتيح العامة، الطوابع الزمنية، وصورة الملف والتعريف الشخصي، إذا كانت إعدادات خصوصيتها عامة.

واستخرج الفريق من هذه البيانات مؤشرات إضافية مثل نظام التشغيل، عمر الحساب، وعدد الأجهزة المرتبطة، وأثبت التحليل أن البيانات الوصفية كشفت الكثير من المعطيات الفردية والمجتمعية.

أبرز نتائج دراسة ثغرة واتساب

أثبتت الدراسة نتائج واسعة، أبرزها: استمرار وجود ملايين الحسابات النشطة في دول حظرت التطبيق مثل الصين وإيران وميانمار.

تفوق أجهزة أندرويد بنسبة 81% مقابل 19% لأجهزة iOS.

وجود اختلافات إقليمية في إعدادات الخصوصية.

رصد حالات نادرة لإعادة استخدام مفاتيح التشفير، ما أشار لاحتمال وجود تطبيقات غير رسمية أو نشاط احتيالي.

بقاء نحو نصف الأرقام التي ظهرت في تسريب فيسبوك عام 2021 نشطة في واتساب.

ثغرة واتساب.. التشفير حمى المحتوى فقط

تحدث أليوشا يودماير الكاتب المراجع للدراسة، موضحاً: «التشفير كان يحمي محتوى الرسائل، لكنه لم يوفر الحماية للبيانات الوصفية المرتبطة بها».

وعقب المؤلف الرئيسي جابرييل جيجنهوبر مؤكداً: «ذكرتنا هذه النتائج بأن الأنظمة الموثوقة على نطاق واسع احتوت على عيوب تصميم أو تنفيذ أدت إلى تبعات واقعية».

وتابع: «أظهرت النتائج أن الأمن والخصوصية لم يكونا إنجازين يُحرزان مرة واحدة، بل احتاجا إلى إعادة تقييم مستمرة مع تطور التقنيات».

رد واتساب بعد الكشف عن الثغرة

عبّر نيتين جوبتا، نائب رئيس الهندسة في واتساب عن امتنان الشركة لباحثي جامعة فيينا لشراكتهم المسؤولة واجتهادهم في إطار برنامج مكافآت الثغرات.

وأشار جوبتا إلى دور هذا التعاون في اكتشاف تقنية تعداد جديدة تجاوزت الحدود الموضوعة، ما أتاح للباحثين سحب معلومات أساسية كانت متاحة علناً.

ونقل بيان جامعة فيينا تصريحاته التي قال فيها: «الشركة عملت مسبقاً على تطوير أنظمة رائدة مضادة للاستخلاص الآلي، ولعبت هذه الدراسة دوراً محورياً في اختبار الضغط عليها وتأكيد فاعلية هذه الدفاعات مباشرة»

واستطرد: «حذف الباحثون البيانات التي جمعوها خلال الدراسة بشكل آمن، ولم تعثر الشركة على أي دليل يشير إلى استغلال خبيث لهذه الثغرة، حيث بقيت رسائل المستخدمين خاصة، ومحمية بفضل التشفير الطرفي الافتراضي لواتساب، ولم يكن أي من البيانات غير العلنية متاحاً للباحثين».

خطوة نحو فهم أعمق لأمن المراسلات

أوضحت جامعة فيينا أن الباحثين استندوا إلى نتائجهم السابقة حول إيصالات التسليم وإدارة المفاتيح، حيث ساهموا في توسيع الفهم البعيد المدى لتطور أنظمة التراسل ولمواقع ظهور المخاطر الجديدة.

كما وسعت الدراسة الحالية نطاق التحليل إلى مستوى عالمي، مؤكدة أن آليات اكتشاف جهات الاتصال قد تنكشف حال سوء تصميمها أو ضعف مراقبتها، لتتحول إلى مدخل لتعداد المستخدمين على نطاق غير مسبوق.