ثغرة أمنية تهز واتساب: تسريب جماعي لأرقام وصور المستخدمين حول العالم!

اعتمد تطبيق واتساب، منذ سنواتٍ، على ميزةٍ تعرف باسم "اكتشاف جهات الاتّصال"، وهي أداةٌ تتيح للمستخدم معرفة ما إذا كان رقمٌ ما مسجّلاً على الخدمة أم لا. غير أنّ ما صمّم في الأصل لتسهيل التّواصل تحوّل، من دون قصدٍ، إلى منفذٍ واسعٍ للتّجميع الآليّ للبيانات. إذ طبّق الباحثون النّمساويّون في جامعة فيينّا هٰذه الآليّة على عشرات المليارات من الأرقام المحتملة عبر واجهة واتساب المكتبيّة، من دون أن تواجههم أيّ قيودٍ فعّالةٍ على المعدّلات، فاستطاعوا أن يتحقّقوا من أكثر من مئة مليون رقمٍ في السّاعة الواحدة، حتّى بلغوا في نهاية المطاف تعداداً هائلاً وصل إلى ثلاثةٍ ونصف مليار رقمٍ. ومع أنّ العمليّة لم تتضمّن اختراقاً فعليّاً لخوادم واتساب، ولم تمكّن من الوصول إلى الرّسائل أو المحادثات، فإنّها كشفت مدى هشاشة هٰذه الميزة عندما تستخدم على نطاقٍ ضخمٍ، لأنّها سمحت بتجميع قاعدة بياناتٍ شبه كاملةٍ للأرقام المسجّلة في التّطبيق.

وبسبب اعتماد إعدادات الخصوصيّة الافتراضيّة على السّماح بعرض صورة الملفّ الشّخصيّ ونصّ "عنّي" للعامّة، تمكّن الباحثون من رؤية كمٍّ هائلٍ من الصّور والبيانات الشّخصيّة. فقد أظهر التّقرير أنّ نحو 5% من الحسابات كانت صورها مرئيّةً، فيما أتيح نصّ "عنّي" (About) في 29% من الحسابات، مع تفاوتٍ ملموسٍ بين الدّول؛ إذ ارتفعت النّسبة إلى 62% في الهند، ووصلت إلى و61% في البرازيل، فيما انخفضت في الولايات المتّحدة. وهٰكذا أتاح هٰذا الخلل تكويناً شبه كاملٍ لصورةٍ رقميّةٍ عن مئات الملايين من المستخدمين، دون أن يتضمّن ذٰلك خرقاً لأيّ نظامٍ أمنيٍّ داخليٍّ، بل عبر آليّةٍ متاحةٍ للجميع أصلاً.

وظهرت القصّة إلى العلن حين أصدرت جامعة فيينّا بياناً رسميّاً في 18 من نوفمبر عام 2025، أوضحت فيه تفاصيل العمليّة، وأكّدت أنّها أبلغت شركة ميتا وفقاً لمعايير "الإفصاح المسؤول". وقد أثار هٰذا البيان موجةً واسعةً من التّغطيات في وسائل الإعلام التّقنيّة العالميّة مثل وايرد وهايز، خصوصاً بعد أن أشارت الجامعة إلى أنّ واتساب قد أدخل في شهر أكتوبر من العام نفسه تعديلاتٍ جديدةً لتقييد الاستعلامات المتكرّرة وتعزيز ضوابط الحماية.

وفي ردّها على تلك التّقارير، أكّدت ميتا لمجلّة وايرد أنّها تثمّن جهود الباحثين في تنبيهها إلى المشكلة، مشيرةً في الوقت ذاته إلى أنّ الرّسائل بقيت مشفّرةً تشفيراً كاملاً بين الأطراف، وأنّ البيانات الّتي ظهرت لم تكن إلّا معلوماتٍ عامّةً يختار المستخدم نفسه جعلها مرئيّةً. وأضافت الشّركة أنّها عزّزت أدوات الحدّ من "الكشط" ووسّعت آليّات الرّصد والتّصدّي للمحاولات الآليّة الّتي يمكن أن تستخدم في جمع البيانات على نطاقٍ واسعٍ.

ومع أنّ ما حدث لم يكن اختراقاً داخليّاً، فإنّ اتّساع نطاق التّعداد جعل الحادث يصنّف كأكبر انكشافٍ منظّمٍ لأرقام هواتف مستخدمي تطبيق مراسلةٍ في التّاريخ الحديث. إذ يرى الباحثون والصّحافيّون التّقنيّون أنّ الرّقم الهاتفيّ يعدّ معرّفاً حسّاساً يمكن ربطه بسهولةٍ بالهويّة الحقيقيّة أو استغلاله في حملات التّصيّد والهندسة الاجتماعيّة. فكلّ رقمٍ يصبح مدخلاً إلى الشّخص الواقف خلفه، وخاصّةً إذا أضيفت إليه صورة الملفّ أو النّصّ التّعريفيّ، فيتحوّل إلى هويّةٍ رقميّةٍ كاملةٍ يمكن أن تساء استخدامها.

وتتجلّى خطورة الحادثة أكثر حين ندرك أنّ قاعدة بياناتٍ بهٰذا الحجم قد تستغلّ في تنفيذ عمليّات احتيالٍ ورسائل خبيثةٍ تستهدف المستخدمين عبر واتساب أو حتّى عبر المكالمات والرّسائل القصيرة. وما يزيد الخطر أنّ وجود الصّور والمعلومات التّعريفيّة يمنح المهاجمين مصداقيّةً زائفةً تساعدهم على إقناع الضّحايا بصحّة هويّتهم. أمّا في الدّول الّتي يحظر فيها استخدام واتساب أو تراقب فيها الاتّصالات الرّقميّة، فتزداد الخطورة أضعافاً، لأنّ هٰذه البيانات قد تستخدم لتتبّع مستخدمين لم يكن يفترض أن يعلم وجودهم على الخدمة أصلاً.

ولتقليل المخاطر، ينبغي على المستخدم أن يبادر بتحديث إعدادات الخصوصيّة فوراً، فيفضّل أن يجعل صورة الملفّ مرئيّةً لـ"جهات اتّصالي" فقط أو "لا أحد"، وأن يطبّق الإجراء نفسه على نصّ "عنّي" وخيار "آخر ظهورٍ/متّصلٍ الآن". وإذا كانت ميزة "أسماء المستخدمين" التّجريبيّة متاحةً، فيستحسن تفعيلها لتقليل الاعتماد على الرّقم الهاتفيّ مستقبلاً. كما يجب توخّي الحذر من الرّسائل المريبة وعدم مشاركة رموز التّحقّق أو النّقر على روابط غير موثوقةٍ ولو بدت صادرةً من معارفٍ. ولا يغني عن ذٰلك سوى تحديث التّطبيق باستمرارٍ وتفعيل خاصّيّة التّحقّق بخطوتين، الّتي تضيف طبقة أمانٍ إضافيّةً في مواجهة محاولات الاستلاء على الحساب.