في خطوة صادمة لعالم التقنية والأمن السيبراني، اكتشف باحثون أمنيون وجود ثغرة خطيرة في تطبيق واتساب تتيح جمع أرقام الهواتف وصور الملفات الشخصية لمليارات المستخدمين، وقد تم الكشف عن هذه المشكلة التي تُعتبر إهمالًا تصميميًا مستمرًا منذ عام 2017. رغم محاولات ميتا — الشركة المالكة لتطبيق واتساب — تأكيد أنها ليست انتهاكًا أمنيًا، إلا أن الوضع يثير القلق بشأن حماية البيانات الشخصية.
أظهر فريق من جامعة فيينا أنه تمكن من جمع 3.5 مليار رقم هاتف عبر استغلال ثغرة في ميزة اكتشاف جهات الاتصال داخل التطبيق، وغياب أي حدود لعدد الاستعلامات جعل جهات خارجية قادرة على إجراء عمليات فحص كثيرة في الساعة دون أي تلقي لنبه أو حظر، إذ استخدم الباحثون آلية مؤتمتة بالكامل للتحقق من الأرقام، وتمكنوا من الوصول إلى صور الملفات الشخصية والنصوص التعريفية لعدد هائل من الحسابات، مما يجعل هذه الطريقة أكثر خطورة إذا وقعت في الأيادي الخطأ.
المثير للقلق أن هذه الثغرة كانت موجودة لفترة طويلة، حيث اكتشفها الباحثون منذ عام 2017، ورغم التنبيهات التي تلقتها ميتا في السابق، إلا أن ميزة اكتشاف جهات الاتصال استمرت في تسهيل جمع بيانات المفترض أن تكون خاصة. كانت هذه الخاصية تستخدم بشكل غير صحيح، مما يُبرز المشاكل الكبيرة في التصميم والأمان للتطبيقات المستخدمة بشكل يومي من قبل الملايين.
وفي رد ميتا، ذكر نائب رئيس هندسة واتساب نيتين جوبتا أن الدراسة ساعدت في تعزيز الدفاعات ضد جمع البيانات، وأكد أنه لم يتم العثور على أي دليل على إساءة الاستخدام. كما زعمت ميتا أنها أصلحت المشكلة من خلال إضافة حدود جديدة للاستعلامات وأن البيانات المعنية تعود إلى المعلومات العامة مثل الرقم والصورة، بينما بقيت الرسائل مشفرة بالكامل.
أظهر الفريق كيف استغلوا الثغرة باستخدام واتساب ويب لإرسال طلبات ضخمة، حيث داهمت عمليات الكشف ملايين الأرقام في الساعة، مشيرين إلى أن 57% من الحسابات كانت تمتلك صورًا شخصية و29% كانت تحتوي على نصوص تعريفية. الأهم من ذلك، أن هذه الثغرة ظلت تعمل حتى في الدول التي تحظر استخدام واتساب مثل الصين وإيران، مما يضع مستخدمي هذه الدول في خطر إضافي.
عندما أبلغ الباحثون ميتا عن الثغرة، قامت بحذف قاعدة البيانات بعد انتهاء الدراسة، إلا أن ميتا استغرقت ستة أشهر لإصلاح الخلل. تشير هذه الحادثة والأساليب المستخدمة فيها إلى أهمية الحذر المتزايد في إدارة الخصوصية الرقمية، كما تسلط الضوء على ضرورة تحسين التصميم وتقوية الأنظمة المعنية لحماية البيانات الشخصية للمستخدمين العالميين.
