كشفت دراسة بحثية حديثة أن آلية اكتشاف جهات الاتصال في "واتساب" ، التي تتيح معرفة ما إذا كان أي رقم هاتف مسجلاً في التطبيق، تحولت إلى ثغرة سمحت لباحثين من جامعة فيينا بجمع بيانات 3.5 مليارات مستخدم حول العالم، بما يشمل أرقام الهواتف وصور الملفات الشخصية والنصوص التعريفية في عدد كبير من الحالات. وأكد الفريق البحثي أن العملية لم تتطلب سوى تجربة الأرقام المحتملة عبر النسخة المكتبية من "واتساب"، من دون أن يواجهوا أي قيود تحد من عدد المحاولات أو سرعتها، مما أتاح لهم فحص نحو 100 مليون رقم في الساعة وتكوين قاعدة بيانات ضخمة وصفوها بأنها كانت قد تصبح "أكبر عملية انكشاف لبيانات المستخدمين في التاريخ" لولا أنها تمت في إطار بحث أكاديمي مسؤول. وقال أليوشا جودماير، أحد الباحثين المشاركين، إن ما توصلوا إليه "يُعد أوسع عملية موثقة حتى اليوم لكشف أرقام الهواتف وبيانات المستخدمين المرتبطة بها".

بيانات شخصية مكشوفة لسنوات في واتساب

أشارت الدراسة إلى أن الفريق استطاع استخراج صور الملفات الشخصية لـ57% من الحسابات التي شملها الفحص، والنصوص التعريفية لـ29% منها. وأبلغ الباحثون شركة "ميتا" بالثغرة في أبريل/نيسان الماضي، قبل أن تعتمد الشركة آلية جديدة في أكتوبر/تشرين الأول لمنع التكرار الجماعي لعمليات البحث.

لكن قبل هذا الإصلاح، كان يمكن لأي جهة استغلال الثغرة لجمع بيانات ملايين المستخدمين في دول متعددة. وكشف الباحثون العثور على 2.3 مليون رقم في الصين و1.6 مليون رقم في ميانمار، ما يعني أن السلطات في هذه الدول كان يمكنها تعقب مستخدمين يعتمدون على "واتساب" رغم حظره.

كيف ردت ميتا؟

في بيان لمجلة WIRED، شكرت "ميتا" الباحثين على الإبلاغ، وأكدت أن البيانات التي ظهرت تُعد "معلومات أساسية عامة"، لأن صور الملفات الشخصية والنصوص التعريفية لا تظهر إلا إذا جعلها المستخدم مرئية للجميع. وأضافت الشركة أن الرسائل بقيت آمنة بفضل التشفير التام بين الطرفين، وأنها لم ترصد أي استغلال عدائي للثغرة.

وأشار الباحثون إلى أن التحذير من هذا النوع من الثغرات يعود إلى عام 2017، حين نبه باحث هولندي إلى إمكانية استخراج الأرقام والصور وأوقات الاتصال، دون أن تُطبق قيود تقنية فعالة طوال السنوات الماضية.

ملايين الصور مكشوفة وتفاوت لافت بين الدول

أظهر التحليل أن التزام المستخدمين بإعدادات الخصوصية يختلف من بلد لآخر؛ إذ يعرض 44% من المستخدمين الأميركيين صوراً شخصية، مقابل 62% في الهند و61% في البرازيل، وهي أكبر أسواق "واتساب" عالمياً. وخلال الفحص، لاحظ الباحثون وجود مفاتيح تشفير مكررة على نحو غير معتاد، بعضها استُخدم مئات المرات، إلى جانب 20 رقماً أميركياً يستخدم مفتاحاً يتكون من أصفار فقط، مرجحين أن السبب يعود إلى تطبيقات غير رسمية لواتساب تعتمد عليها شبكات الاحتيال الرقمي.

رقم الهاتف ليس معرفاً آمناً

يرى فريق جامعة فيينا أن المشكلة تعكس أزمة أوسع في الخدمات التي تعتمد على رقم الهاتف كمعرف أساسي؛ إذ إن الأرقام ليست عشوائية بما يكفي لتأمين مليارات المستخدمين. ويختبر "واتساب" حالياً ميزة أسماء المستخدمين (Usernames) التي قد توفر طبقة حماية إضافية بديلة عن الاعتماد الكامل على الرقم. وقال الباحثون: "حين يُستخدم رقم الهاتف كمعرف أساسي لأكثر من ثلث سكان العالم، فإن أي ثغرة في آلية اكتشاف الحسابات تُشكل خطراً بالغاً على الخصوصية".

وفي الخلاصة، تعيد القضية تسليط الضوء على هشاشة منصات التواصل العملاقة حين يتعلق الأمر بحماية البيانات، وعلى ضرورة تطوير آليات أكثر صرامة لضمان توازن حقيقي بين المزايا الحديثة وحماية خصوصية المستخدمين في عالم يزداد اعتماداً على الخدمات الرقمية.