ماذا حدث؟
في تطوّر أثار جدلًا واسعًا، أعلن باحثون من جامعة فيينا بالتعاون مع SBA Research عن اكتشاف خلل خطير في واتساب تسبب بتسريب بيانات مليارات المستخدمين، بعد دراسة رصدت سلوكًا غير معتاد في إحدى وظائف التطبيق الأساسية.
آلية الخلل.. ثغرة داخل “اكتشاف جهات الاتصال”
ترتبط المشكلة بآلية اكتشاف جهات الاتصال التي يعتمد عليها واتساب لربط المستخدمين عبر أرقام الهواتف، إذ كشف التحقيق أن تعرضها لاستعلامات مكثفة يسمح بإظهار كميات كبيرة من البيانات دون اختراق الأجهزة.
واستغل الباحثون هذا الخلل بإرسال أكثر من 100 مليون طلب في الساعة عبر بنية واتساب، ما مكّنهم من الوصول لبيانات 3.5 مليار حساب في 245 دولة، وهو ما يعكس خطورة الثغرة واتساع تأثيرها.
استجابة غير طبيعية من خوادم واتساب
غابريال غيغنهوبر، المؤلف الرئيسي للدراسة، أوضح أن “استجابة أي نظام لكمّ هائل من الطلبات الصادرة من مصدر واحد خلال فترة قصيرة تُعد مؤشرًا على ضعف جوهري”.
وأكد أن هذا الضعف هو ما سمح للفريق برسم صورة واسعة لبيانات المستخدمين حول العالم عبر عدد محدود من الاستعلامات.
بيانات ظهرت عبر الثغرة
البيانات التي ظهرت بفعل الثغرة ليست من نوعية الرسائل أو المحتوى الخاص، بل تقتصر على المعلومات المتاحة لأي مستخدم يمتلك رقم هاتف الطرف الآخر.
وتشمل: رقم الهاتف، المفاتيح العامة، الطوابع الزمنية، نص الحالة، وصورة الملف الشخصي. ومع ذلك، نجح الباحثون في استخلاص معلومات أعمق من هذه المعطيات، أبرزها نوع نظام التشغيل المستخدم، عمر الحساب، وعدد الأجهزة المرتبطة به.
ما وراء البيانات.. قراءة في أنماط الاستخدام
ورغم محدودية البيانات الظاهرة، إلا أنها سمحت برصد أنماط استخدام فردية وجماعية، وهو ما أضاف بعدًا آخر لحساسية التسريب.
كما رصدت الدراسة وجود ملايين الحسابات النشطة في دول تحظر الخدمة رسميًا، مثل الصين وإيران وميانمار، ما يفتح نقاشًا جديدًا حول طرق استخدام التطبيق في البيئات المقيدة.
توزيع المستخدمين عالميًا
كما كشف التقرير أن 81% من مستخدمي واتساب يعملون على أجهزة أندرويد، في حين يستخدم 19% أجهزة تعمل بنظام iOS، وهو ما يعكس توزّع قاعدة المستخدمين عالميًا.
ماذا بعد؟
وعقب التحقق من الثغرة، تواصل الفريق البحثي مع شركة “ميتا”، التي سارعت إلى إغلاق الخلل وإصلاح آلية الاستجابة الخاصة بوظيفة اكتشاف جهات الاتصال.
وشدد الباحثون على أنهم لم يحاولوا الوصول إلى الرسائل أو محتوى المحادثات، وأن جميع البيانات التي جُمعت خلال التجربة تم حذفها بالكامل قبل نشر الدراسة.ومن المقرر أن يُعرض التقرير البحثي الكامل خلال ندوة أمن الشبكات والأنظمة الموزعة لعام 2026، ليُسلط الضوء على واحدة من أوسع الحوادث التقنية المرتبطة بتطبيقات التراسل الفوري.
