أخبار التكنولوجيا

تسريب بيانات 3.5 مليار حساب واتساب في 245 دولة: ثغرة تكشف هشاشة الهوية الرقمية

Karim Boukhris أرسل بريدا إلكترونيا منذ 3 ساعات
0 2 4 دقائق
تسريب بيانات 3.5 مليار حساب واتساب في 245 دولة: ثغرة تكشف هشاشة الهوية الرقمية

كشف فريق من الباحثين النمساويين عن واحدة من أخطر الثغرات التي عرفها تطبيق واتساب في السنوات الأخيرة، بعد نجاحهم في استغلال آلية “اكتشاف جهات الاتصال” لبناء ما يشبه دليلًا عالميًا يضم معطيات مرتبطة بنحو 3.5 مليار حساب نشط حول العالم.

ورغم أن التشفير التام لمحتوى الرسائل بقي سليمًا، فإن الكمّ الهائل من البيانات التعريفية (الميتاداتا) التي تمكن الفريق من جمعها أعاد تسليط الضوء على هشاشة النموذج القائم على رقم الهاتف كأساس للهوية الرقمية في منصات المراسلة الفورية.

خلل تقني بسيط يكشف نصف سكان الكوكب

انطلقت القصة كتجربة بحثية محدودة، قبل أن تتحول بسرعة إلى عملية مسح واسع النطاق كشفت أرقام هواتف تعادل تقريبًا نصف سكان العالم.

استعمل الباحثون بروتوكول XMPP الذي يعتمد عليه واتساب، عن طريق عميل مخصص يسمى whatsmeow، ما أتاح لهم تجاوز القيود المعتادة للتطبيق وإرسال طلبات تحقق بوتيرة بلغت حوالي 7000 رقم في الثانية.

وبالاعتماد على خمس جلسات فقط وخادم واحد، أنشأ الفريق ملايين الأرقام المحتملة في 245 دولة، ثم قام بفحص كل رقم على حدة للتأكد مما إذا كان مرتبطًا بحساب واتساب أم لا.

وفي تصريح يلخص حجم المفاجأة، قال غابرييل غيغنهوبر، الباحث الرئيسي في جامعة فيينا:
“من المفترض ألا يستجيب النظام لهذا العدد الضخم من الطلبات في وقت قصير، خصوصاً عندما تصدر من مصدر واحد. هذا السلوك كشف الخلل الذي سمح لنا بإرسال عدد غير محدود من الطلبات للخادم، وبالتالي رسم خريطة بيانات المستخدمين حول العالم.”

وأضاف الباحثون في تقريرهم أنهم “لم يواجهوا أي حدود تمنع معدل البحث” وأنهم أتمّوا عملية المسح الضخم “من دون حظر أو تباطؤ أو إنذارات” من جانب خوادم واتساب، وهو ما اعتبروه مؤشرًا واضحًا على ثغرة في آليات الحماية ضد سحب البيانات على نطاق واسع.

ماذا كشفت قاعدة البيانات التي جُمعت؟

بحسب ما توصل إليه الفريق، أتاحت هذه العملية تكوين صورة شبه شاملة عن قاعدة مستخدمي واتساب، شملت:

  • توزيعهم الجغرافي بين الدول والمناطق؛
  • أنظمة التشغيل الأكثر استعمالًا؛
  • أعمار الحسابات؛
  • وعدد الأجهزة المرتبطة بكل حساب عبر وضع “الكمبانيون”.

وفي بلدان مثل الولايات المتحدة والبرازيل والمكسيك، أمكن تحديد موقع المستخدمين حتى مستوى الولاية، وهو ما يفتح الباب أمام استغلال هذه المعطيات في حملات تصيد أو مكالمات احتيالية موجهة بدقة عالية.

وفي تعليق يبرز خطورة الميتاداتا، قال الباحث المشارك أليوشا يودماير:
“التشفير التام يحمي محتوى الرسائل، لكنه لا يحمي البيانات التعريفية. دراستنا تُظهر أن المخاطر قد تظهر عند جمع هذه البيانات وتحليلها على نطاق واسع.”

وأوضح الفريق أن نوعية البيانات التي حصلوا عليها تشبه في جزء كبير منها ما يمكن لأي شخص الاطلاع عليه إذا كان يعرف رقم المستخدم، لكن حجمها وطريقة تجميعها هو ما يجعلها خطرة. فقد تمكنوا من استخراج معلومات إضافية تشمل:

  • نظام تشغيل الجهاز؛
  • عمر الحساب؛
  • عدد الأجهزة المرتبطة؛
  • صور الملف الشخصي؛
  • والنبذات التعريفية المكتوبة من طرف المستخدمين.

هذه التفاصيل، عند جمعها وتحليلها خوارزميًا، تسمح ببناء ملفات شخصية دقيقة لمليارات الحسابات.

ملايين الحسابات في دول تحظر واتساب رسميًا

من النتائج غير المتوقعة التي أبرزتها الدراسة، رصد ملايين الحسابات النشطة في دول تفرض حظرًا رسميًا على استخدام واتساب.

فقد كشف الباحثون عن وجود 2.3 مليون حساب في الصين، و1.6 مليون حساب في ميانمار، وخمسة حسابات في كوريا الشمالية، إضافة إلى أكثر من 59 مليون حساب في إيران، رغم أن هذه الأخيرة أبقت على الحظر حتى أواخر سنة 2024.

وخلصت الدراسة إلى أن:
“هذه النتائج تشير إلى مدى اعتماد المستخدمين على طرق التفاف تقنية للوصول إلى واتساب، رغم القيود الحكومية”.

هذه الأرقام تؤكد أن المنع القانوني لا يمنع بالضرورة من استخدام التطبيق، بل يدفع المستخدمين إلى الاعتماد على شبكات افتراضية خاصة وطرق أخرى لتجاوز الحجب، تاركين وراءهم أثرًا رقميا قابلًا للاستغلال.

شبح تسريب 2021 يعود من جديد

أظهرت نتائج التحليل كذلك أن حوالي نصف أرقام الهواتف التي ظهرت في التسريب الشهير لبيانات مستخدمي فيسبوك سنة 2021 ما تزال مستعملة على واتساب حتى اليوم.

ذلك التسريب سبق أن كشف أسماء المستخدمين، أرقام الهواتف، البيانات الجغرافية، وتواريخ الميلاد، وتم تداوله على منتديات للقرصنة.

على خلفية ذلك، فرضت لجنة حماية البيانات الأيرلندية غرامة قدرها 265 مليون يورو على شركة ميتا بدعوى أنها:
“فشلت في الالتزام بقوانين حماية البيانات”.

ويحذر الباحثون من أن:
“هناك مخاطر أمنية مستمرة ومتصاعدة لأي مستخدم لا يزال رقم هاتفه ضمن الأرقام المسرّبة في ذلك الاختراق”.

فربط ما تم تسريبه سابقًا بما جُمع حديثًا يزيد من دقة الصورة المتاحة عن أصحاب الأرقام، ويُسهّل استهدافهم.

رد ميتا: الثغرة أغلِقت والمعلومات كانت “عامة”

من جهتها، أكدت شركة ميتا أنها تعاونت مع الفريق البحثي طوال فترة الدراسة وأنها “عالجت المشكلة وخففت آثارها”.

وقال نيتين غوبتا، نائب رئيس الهندسة في واتساب، في بيان رسمي:
“كنا نعمل بالفعل على أنظمة متقدمة لمكافحة سحب البيانات، وكانت هذه الدراسة مهمة لاختبار فعالية هذه الدفاعات.”

وأضاف موضحًا:
“لم نعثر على أي دليل على أن جهات خبيثة استغلت هذا المسار. رسائل المستخدمين بقيت خاصة وآمنة بفضل التشفير التام بين الطرفين، ولم يكن هناك أي وصول إلى بيانات غير عامة.”

وأشار غوبتا إلى أن الشركة أدخلت قيودًا جديدة على وتيرة الطلبات عبر واجهة واتساب ويب، مؤكدًا أن:
“المعلومات التي جُمعت كانت معلومات عامة يمكن لأي شخص رؤيتها إذا كان يملك رقم الهاتف، وأن المستخدمين الذين فعّلوا إعدادات الخصوصية لم يتأثروا”.

رغم ذلك، يرى الخبراء أن مسألة “عمومية” المعلومة لا تُلغي خطورة جمعها وتحليلها على نطاق مليارات الحسابات دفعة واحدة.

لماذا تبقى المشكلة أعمق من مجرد ثغرة تقنية؟

يشدد الباحثون على أن الإشكال الحقيقي لا يتوقف عند الثغرة التي تم سدّها، بل يرتبط بطبيعة تصميم التطبيق نفسه، القائم كليًا على رقم الهاتف كهوية مركزية للمستخدم.

هذا الاعتماد يجعل أي واجهة أو ميزة مرتبطة بالأرقام هدفًا مغريًا لسحب البيانات بكميات ضخمة. ويقول التقرير إن:
“مركزية الاعتماد على عدد قليل من تطبيقات المراسلة يخلق نقاط ضعف هائلة عندما يتم جمع البيانات التعريفية على مستوى عالمي”.

وتلمّح الدراسة إلى أن ميزة “اسم المستخدم” التي يختبرها واتساب حاليًا في النسخة التجريبية قد تكون خطوة أولى نحو تقليص الاعتماد على أرقام الهواتف، وبالتالي الحد من إمكانية بناء قواعد بيانات عالمية مشابهة في المستقبل.

الخطر الأكبر ليس في مضمون الرسائل… بل في ما يحيط بها

تؤكد الدراسة أن التشفير التام بين الطرفين أدى دوره في حماية محتوى المحادثات، لكن البيانات المحيطة بالرسائل – مثل تاريخ إنشاء الحساب، نوع الجهاز، الموقع التقريبي، صورة الملف الشخصي – يمكن أن تصبح ذات خطورة كبيرة عندما تُجمع وتُحلل على نطاق واسع.

ما حدث مع واتساب يعكس هشاشة البنية الرقمية التي تقوم عليها هوية المليارات من المستخدمين، ويطرح بإلحاح سؤالًا كبيرًا حول مستقبل الخصوصية في عالم تُبنى فيه أقوى تطبيقات المراسلة على رقم الهاتف كمعرّف رئيسي، في وقت تتزايد فيه قدرة الفاعلين – بحثيين كانوا أو خبيثين – على استغلال الميتاداتا أكثر من أي وقت مضى.

Karim Boukhris أرسل بريدا إلكترونيا منذ 3 ساعات
0 2 4 دقائق

Karim Boukhris

بوقريس كريم صحفي متخصص في كرة القدم، ويملك خبرة تمتد لسبع سنوات في مجال الصحافة الرياضية المغربية. تعاون مع وسائل إعلام مثل "لو ماتان سبور"، "أطلس فوت" و"راديو ماروك سبور"، وينشر تحليلات تكتيكية وتقارير معمقة حول كرة القدم المغربية، مع تركيز خاص على المنتخبات الوطنية.

مقالات ذات صلة

غوغل تكشف عن أداة ذكاء اصطناعي جديدة للبحث العلمي

غوغل تكشف عن أداة ذكاء اصطناعي جديدة للبحث العلمي

منذ 9 ساعات
جوجل تكشف عن جيميني 3: نموذج ذكاء اصطناعي خارق وبيئة برمجة جديدة باسم Antigravity

جوجل تكشف عن جيميني 3: نموذج ذكاء اصطناعي خارق وبيئة برمجة جديدة باسم Antigravity

منذ يوم واحد
"سبيس إكس" تعزّز كوكبة "ستارلينك" بإقلاعين متتاليين في أقل من 4 ساعات

“سبيس إكس” تعزّز كوكبة “ستارلينك” بإقلاعين متتاليين في أقل من 4 ساعات

منذ 3 أيام
شركة طيران روسية تختبر أول روبوت كمضيف جوي في العالم

شركة طيران روسية تختبر أول روبوت كمضيف جوي في العالم

منذ 5 أيام

اترك تعليقاً

زر الذهاب إلى الأعلى