أظهرت دراسة بحثية جديدة أنّ ميزة اكتشاف جهات الاتصال في “واتساب”، التي تتيح للمستخدم معرفة إذا كان أي رقم هاتف مسجَّل في المنصة، تحوّلت إلى باب خلفي مكّن باحثين من جامعة فيينا النمساوية من جمع أرقام 3.5 مليارات مستخدم حول العالم، إلى جانب صور ملفاتهم الشخصية والنصوص التعريفية الخاصة بهم في عدد كبير من الحالات.
وأوضح الباحثون أنّهم اعتمدوا ببساطة على تجربة كل رقم محتمل عبر النسخة المكتبية من واتساب، دون أن يواجهوا أيّ قيود تحدّ عدد المحاولات أو سرعتها. وتمكّن الفريق من فحص نحو 100 مليون رقم في الساعة، مما جعلهم قادرين على تجميع قاعدة بيانات هائلة تُعَد وفق وصفهم “أكبر انكشاف لبيانات المستخدمين في التاريخ لو لم يتم في إطار دراسة بحثية مسؤولة”.
وقال أليوشا جودماير، أحد الباحثين المشاركين في الدراسة، إن ما توصلوا إليه “يُعد أوسع عملية موثّقة حتى اليوم لكشف أرقام الهواتف وبيانات المستخدمين المرتبطة بها”.
بيانات شخصية مكشوفة لسنوات
ووفق الدراسة، فقد تمكّن الفريق من استخراج صور الملفات الشخصية لـ57% من المستخدمين الذين شملتهم عملية الفحص، إضافةً إلى النصوص التعريفية (الموجودة في قسم About) لـ29% منهم. وأكد الباحثون أنهم أبلغوا “ميتا” بالثغرة في أبريل الماضي، وأن الشركة طبّقت في أكتوبر آلية لمنع التكرار الجماعي لعمليات البحث.
ولكن قبل هذا الإصلاح، كان بإمكان أي جهة – وفق الباحثين – استغلال الطريقة نفسها لجمع بيانات مستخدمين من مختلف الدول، ويشمل ذلك المستخدمين الذين يعتمدون على واتساب في ظل حظره داخل بلدانهم؛ فقد عثر الباحثون مثلًا على 2.3 مليون رقم في الصين و 1.6 مليون رقم في ميانمار، مما قد يتيح للجهات الحكومية هناك تعقّب الأشخاص الذين يستخدمون التطبيق بنحو غير قانوني.
ميتا: الرسائل المشفّرة لم تُمس
في بيان لمجلة WIRED، شكرت ميتا الباحثين على الإبلاغ، وأكّدت أن البيانات التي ظهرت تُعد “معلومات عامة أساسية”؛ لأن صور الملفات الشخصية والنصوص التعريفية لا تظهر إلا إذا جعلها المستخدم قابلة للعرض. وأضافت الشركة أن الرسائل بقيت آمنة بفضل آلية التشفير التام، وأنها لم ترصد أي إساءة استغلال للثغرة.
وشدد الباحثون على أنهم لم يصطدموا بأي دفاعات تقنية من جانب واتساب في أثناء العملية، مؤكدين أن التحذير من هذه الثغرة يعود إلى عام 2017 عندما نبّه باحث هولندي إلى إمكانية استخراج الأرقام والصور وظهور أوقات الاتصال، دون أن تُطبق قيود كافية طوال السنوات الماضية.
ملايين الصور مكشوفة… وتفاوت كبير بين الدول
وفي تحليل لمدى التزام المستخدمين بإعدادات الخصوصية، وجد الباحثون أن 44% من المستخدمين الأمريكيين الذين ظهرت أرقامهم يعرضون صورًا شخصية، في حين تصل النسبة إلى 62% في الهند و 61% في البرازيل، وهي البلدان التي تشكّل أكبر أسواق واتساب عالميًا.
وفحص فريق جامعة فيينا مفاتيح التشفير الخاصة بالحسابات التي حصل عليها، واكتشف وجود مفاتيح مكررة بنحو غير معتاد، بعضها مُستخدَم مئات المرات، إلى جانب 20 رقمًا أمريكيًا تستخدم مفتاحًا مكوّنًا من أصفار فقط. ويرجّح الباحثون أن يكون السبب تطبيقات غير رسمية لواتساب تستخدمها شبكات الاحتيال الرقمي.
مشكلة أعمق: أرقام الهواتف ليست “معرّفًا سريًا”
يرى الباحثون أن الأزمة تكشّف عن مشكلة جوهرية في الخدمات القائمة على أرقام الهواتف؛ إذ إن الأرقام ليست عشوائية بما يكفي لتكون معرّفًا آمنًا لمليارات المستخدمين. ويعتمد واتساب بالفعل على اختبار ميزة أسماء المستخدمين (Usernames)، التي قد تشكّل حلًا أكثر أمانًا من الاعتماد الكامل على الأرقام.
وقال فريق الدراسة: “حين يُستخدم رقم الهاتف كمعرّف أساسي لأكثر من ثلث سكان العالم، فإن أي ثغرة في آلية اكتشاف الحسابات تُشكّل خطرًا بالغًا على الخصوصية”.
وفي المحصلة، تُشكّل هذه القضية تذكيرًا صارخًا بأن خدمات التواصل الضخمة، حتى مع بنيتها التقنية المتقدمة، ما زالت عرضة لإخفاقات قاسية حين يتعلّق الأمر بخصوصية المستخدمين. ومع استمرار واتساب بتطوير حلول بديلة مثل أسماء المستخدمين وتعزيز آليات الحماية، يبقى التحدّي الحقيقي هو إيجاد توازن بين المزايا المختلفة التي يقوم عليها التطبيق وحماية البيانات الشخصية لمليارات الأشخاص حول العالم، وهي معادلة تزداد تعقيدًا كلما توسّعت المنصة وانتشرت عالميًا.