كتب: أحمد محمد حسين
كشفت دراسة حديثة أجراها باحثون في الأمن السيبراني عن وجود ثغرة هائلة في تطبيق التراسل الأشهر عالمياً، واتساب (WhatsApp)، سمحت نظرياً بجمع وتأكيد بيانات ما يقارب 3.5 مليار حساب نشط؛ وهو ما يمثل غالبية مستخدمي التطبيق حول العالم. وقد وُصفت هذه الواقعة بأنها واحدة من أكبر عمليات كشف البيانات المحتملة في تاريخ الإنترنت.
أفاد الباحثون من جامعة فيينا بالنمسا أن الثغرة لم تكن متعلقة بكسر التشفير التام بين الطرفين (End-to-End Encryption) لرسائل المستخدمين، بل كانت تكمن في آلية "اكتشاف جهات الاتصال" (Contact Discovery). حيث سمحت هذه الآلية، بسبب غياب القيود الكافية على معدل الاستخدام (Rate Limiting)، بـ "الاستعلام" بشكل ضخم وممنهج عن أرقام الهواتف وتأكيد ما إذا كانت مرتبطة بحسابات واتساب نشطة أم لا.
البيانات التي أمكن تأكيدها وجمعها عبر هذه الثغرة، والمتاحة في الأصل بشكل عام أو لجهات الاتصال، شملت:
رقم الهاتف الشخصي.
صورة الملف الشخصي (للحسابات التي تسمح بعرضها).
نص الحالة (About) الخاص بالمستخدم.
وأشار التقرير إلى أن هذا الخلل كان يتيح للجهات الخبيثة إنشاء قواعد بيانات ضخمة ومفصلة يمكن استخدامها لاحقاً في عمليات الاحتيال أو التصيد الإلكتروني (Phishing).
ثغرة قائمة منذ عام 2017
ما يزيد من خطورة الاكتشاف هو أن الثغرة التقنية قديمة، حيث أشار الباحثون إلى أنها كانت موجودة في أنظمة واتساب منذ عام 2017 على الأقل. وقد تمكن فريق البحث من اختبار ما يقرب من 100 مليون رقم هاتف في الساعة خلال دراستهم.
بعد إبلاغ شركة "ميتا" (Meta)، الشركة الأم لواتساب، بالاكتشاف، أكدت الأخيرة أنها عملت على الفور لتصحيح الخلل. وأشارت التقارير إلى أن الشركة قامت بتطبيق قيود أكثر صرامة على معدل طلبات الاستعلام، مما يحد بشكل كبير من إمكانية تكرار هذا النوع من "الاستكشاف الواسع" لبيانات المستخدمين.
ويُنصح المستخدمون دوماً بمراجعة إعدادات الخصوصية للتأكد من أن صورة الملف الشخصي والحالة متاحة فقط لـ "جهات الاتصال الخاصة بي" أو "لا أحد"، بدلاً من "الكل".
إرسال تعليق