أعلن فريق بحثي من جامعة فيينا عن وجود ثغرة في واتساب تتعلق بميزة اكتشاف جهات الاتصال سمحت بجمع أرقام الهواتف وصور الملفات الشخصية لمليارات المستخدمين دون علمهم. أشار الفريق إلى أن المشكلة الأساسية هي غياب أي حدود لعدد الاستعلامات، ما سمح لأي جهة بإجراء ملايين عمليات الفحص في الساعة. ذكر الباحثون أن العملية كانت آلية بالكامل وتمكنت من التحقق من وجود أرقام ثم الوصول إلى الصور التعريفية ونص الحالة لعدد كبير من الحسابات. حذروا من أن استخدام هذه الثغرة في أيدي خاطئين كان يمكن أن يؤدي إلى أكبر تسريب للبيانات في التاريخ.
وقد كشف فريق البحث أن الثغرة مكنت من جمع 3.5 مليار رقم هاتف باستخدام إجراء آلي بسيط، عبر استغلال ميزة اكتشاف جهات الاتصال. وباستخدام عملية مؤتمتة بالكامل تمكنوا من التحقق من وجود أرقام ثم وصلوا إلى الصور التعريفية ونص Status لعدد كبير من الحسابات. أظهرت النتائج أن 57% من الحسابات لديها صورة شخصية و29% لديها نص تعريف. ولاحظ الباحثون أن الثغرة ظلت تعمل حتى في دول يحظر فيها واتساب مثل الصين وإيران وميانمار وكوريا الشمالية.
كيف استُغلت الثغرة وتداعياتها
استخدم الفريق واتساب ويب لإرسال طلبات ضخمة لاكتشاف جهات الاتصال، فتمكنوا من مسح ملايين الأرقام في الساعة. ورصدت النتائج أن البيانات التي تم الوصول إليها تركزت على أرقام وصور ونصوص تعريف، مع استمرار تشفير الرسائل. كما أشارت النتائج إلى أن الثغرة كانت قابلة للاستخدام حتى في دول حُظر فيها واتساب. وأكدت المصادر أن البيانات التي تم الوصول إليها كانت من فئة البيانات العامة مثل الرقم والصورة والنص التعريفي.
أعلنت ميتا أنها اعترفت بالخلل وعملت على إصلاحه عبر إضافة حدود لعدد الاستعلامات في ميزة اكتشاف جهات الاتصال. وأوضحت أن البيانات التي تم الوصول إليها هي بيانات عامة مثل الرقم والصورة، وأن الرسائل بقيت مشفرة بالكامل. في تصريح لمجلة Wired، قال نيتين جوبتا نائب رئيس هندسة واتساب إن الدراسة ساعدت في اختبار دفاعات الشركة ضد جمع البيانات، ولم يُرصد دليل على إساءة الاستخدام. وأشارت الشركة إلى أنها حذفت قاعدة البيانات بعد انتهاء الدراسة وأن الإصلاح استغرق ستة أشهر.
تكشف هذه الحادثة عن هشاشة الخصوصية الرقمية في التطبيقات التي تُستخدم يومياً على نطاق واسع، وتعيد تسليط الضوء على أهمية حماية البيانات عند التصميم. رغم وعود ميتا، تثير الحادثة أسئلة حول مدى حماية المستخدمين وكيفية تقليل مخاطر الاستغلال في المستقبل. وأكدت المصادر أن الإصلاح الأساسي للثغرة جاء بعد ستة أشهر من الجهد الفني، مع إجراء تحديثات لحظر إجراءات استعلام مفرطة. تظل المطالبات حول تحسين آليات الحماية وتصميم أنظمة أكثر أماناً مطروحة للنقاش المستمر.
