سرايا - كشف باحثون في الأمن السيبراني عن ثغرة في تطبيق واتساب كانت تتسبب، حتى وقت قريب، في تسريب أرقام هواتف المستخدمين وصور ملفاتهم الشخصية دون علمهم.

وبحسب فريق من جامعة فيينا، فإن الخلل نتج عن غياب قيود على معدل الطلبات في أداة "اكتشاف جهات الاتصال"، ما سمح نظريا بجمع أرقام هواتف معظم مستخدمي واتساب، إضافة إلى صور ملفات بعضهم.


ثغرة في واتساب كشفت 3.5 مليار رقم هاتف وصورة شخصية تمكن الباحثون من استخراج 3.5 مليار رقم هاتف باستخدام تقنية وصفوها بـ"البسيطة"، بعد استغلال آلية واتساب للتحقق من الأرقام المسجلة.

وأوضحوا أن التطبيق لم يفرض أي حدود على عدد عمليات الفحص التي يمكن للمستخدم إجراؤها، إذ كان بالإمكان تنفيذ ملايين الاستعلامات في الساعة دون تنبيه أو منع، الأمر الذي سمح باختبار نطاقات واسعة من الأرقام وجمع بيانات الحسابات النشطة وصور الملفات الشخصية والنصوص التعريفية المرتبطة بها.

وحذر الباحثون من أن هذه الثغرة، الموجودة منذ عام 2017 على الأقل، كان يمكن أن تؤدي إلى "أكبر عملية تسريب بيانات في التاريخ" لو استغلها طرف خبيث.

وأشاروا إلى أن ميزة "اكتشاف جهات الاتصال"، المصممة لسهولة العثور على الأشخاص عبر مزامنة دفتر العناوين، فتحت الباب دون قصد لجمع بيانات المستخدمين على نطاق واسع.

وفي تعليق لشركة ميتا، المالكة لخدمة واتساب، أكدت وجود الثغرة لكنها أوضحت أنها نتجت عن "قرار تصميمي لم يلتفت لتداعياته".

وقال نيتين غوبتا، نائب رئيس هندسة واتساب، في تصريح لمجلة Wired: الدراسة ساعدت في اختبار وتعزيز منظومة الدفاع الجديدة ضد عمليات السحب الآلي للبيانات، ولم نجد أي دليل على إساءة استغلال هذا المسار، وتظل رسائل المستخدمين مشفرة بالكامل، ولم يحصل الباحثون على أي بيانات غير معلنة .

وأوضحت ميتا أنها أصلحت الخلل بعد إضافة حد لمعدل الطلبات التي يمكن من خلالها التحقق من وجود رقم على واتساب، مشيرة إلى أن البيانات المكشوفة كانت "عامة" مثل أرقام الهواتف وصور الملفات المتاحة للعموم.

وفي المقابل، أكد الباحثون أن استخدامهم لواجهة واتساب ويب مكنهم من إرسال طلبات اكتشاف جهات اتصال على نطاق ضخم، ما سمح بجمع ملايين السجلات كل ساعة.

وكشفوا أن 57% من الحسابات التي تم رصدها كانت صور ملفاتها الشخصية متاحة، فيما كانت حالة الحساب النصية مرئية لدى 29% منها.

والأخطر أن التقنية نجحت حتى في دول محظور فيها استخدام واتساب، مثل الصين وإيران وميانمار وكوريا الشمالية، ما قد يعرض مستخدميه هناك للخطر.

وقال الباحثون إنهم أبلغوا ميتا فور اكتشاف حجم المشكلة، ثم حذفوا قاعدة البيانات بعد انتهاء الدراسة، بينما احتاجت الشركة نحو 6 أشهر لإصلاح الثغرة وفرض القيود الجديدة.