كشفت مجموعة من الباحثين من جامعة فيينا عن ثغرة أمنية خطيرة في تطبيق الواتساب، أدت إلى تسريب أرقام هواتف حوالي 3.5 مليار مستخدم حول العالم.
تعتمد هذه الثغرة على آلية "اكتشاف جهات الاتصال" التي يستخدمها التطبيق، حيث يمكن للمستخدمين معرفة ما إذا كان رقم هاتف معين مسجلاً على المنصة.
كيف تم اكتشاف الثغرة؟
استخدم الباحثون طريقة منهجية لتجربة أعداد ضخمة من أرقام الهواتف، مما مكنهم من "تعداد" الأرقام المرتبطة بحسابات واتساب.
وقد أظهرت النتائج أن 57% من المستخدمين كانوا يمكن الوصول إلى صور ملفاتهم الشخصية، بينما تمكن الباحثون من الحصول على نصوص تعريفية لـ29% من المستخدمين.
التداعيات المحتملة
إذا كان قد تم استغلال هذه الثغرة من قبل جهات خبيثة، لكانت النتيجة واحدة من أكبر تسريبات البيانات في التاريخ.
الباحثون حذروا من أن البيانات المسربة تشمل أرقام الهواتف، وتواريخ التحديثات، وصور الملفات الشخصية، مما قد يعرض المستخدمين لمخاطر مثل الاحتيال والرسائل المزعجة.
استجابة ميتا
على الرغم من أن ميتا، الشركة الأم لواتساب، كانت قد تلقت تحذيرات بشأن هذه الثغرة منذ عام 2017، إلا أنها لم تتخذ إجراءات كافية لمعالجتها حتى الآن.
بعد أن أبلغ الباحثون ميتا عن الثغرة في أبريل 2025.
قامت الشركة بتطبيق تدابير أكثر صرامة للحد من عدد الطلبات التي يمكن إجراؤها في فترة زمنية قصيرة، مما ساعد في تقليل المخاطر المرتبطة بهذه الثغرة.
ما هي الآلية التي استخدمها الباحثون اكتشاف ثغرة واتساب؟
الآلية المستخدمة لاكتشاف ثغرة واتساب
استخدم الباحثون من جامعة فيينا آلية "اكتشاف جهات الاتصال" في تطبيق واتساب لاكتشاف ثغرة أمنية خطيرة.
تعتمد هذه الآلية على مقارنة أرقام الهواتف الموجودة في دفتر عناوين المستخدمين مع قاعدة بيانات واتساب لتحديد الحسابات المرتبطة بتلك الأرقام.
تفاصيل الآلية
1. استغلال ضعف الحماية:
تمكن الباحثون من إرسال أكثر من 100 مليون طلب في الساعة دون مواجهة أي قيود فعالة على عدد الطلبات، مما سمح لهم بإجراء استعلامات واسعة النطاق عن أرقام الهواتف.
2. تحديد الأرقام النشطة:
من خلال هذه الاستعلامات، استطاعوا تأكيد وجود أكثر من 3.5 مليار حساب نشط في 245 دولة.
3. جمع البيانات العامة:
بجانب أرقام الهواتف، تمكن الباحثون من جمع معلومات عامة مثل:
- الصور الشخصية.
- نصوص التعريف.
- المفاتيح العامة.
- الطوابع الزمنية.
4. تحليل البيانات:
استخدم الباحثون البيانات التي جمعوها لرسم خريطة شاملة لحسابات المستخدمين على مستوى عالمي، مما أظهر أن النظام كان يستجيب لعدد غير معتاد من الطلبات من مصدر واحد، مما كشف عن الثغرة الأساسية.
النتائج والتداعيات
أظهرت الدراسة أن الثغرة كانت ستؤدي إلى أكبر تسريب للبيانات في التاريخ إذا تم استغلالها من قبل جهات خبيثة.
بعد إبلاغ ميتا (الشركة الأم لواتساب) عن الثغرة، قامت الشركة بتطبيق تدابير جديدة للحد من عدد الطلبات المسموح بها، مما ساعد في تقليل المخاطر المرتبطة بهذه الثغرة.
تسلط هذه الحادثة الضوء على أهمية الأمان السيبراني في التطبيقات الشائعة، وتظهر كيف يمكن لثغرات بسيطة أن تؤدي إلى تسريبات ضخمة للبيانات.
ما هي التدابير التي اتخذتها ميتا بعد اكتشاف الثغرة؟
التدابير التي اتخذتها ميتا بعد اكتشاف الثغرة
بعد اكتشاف الثغرة الأمنية الكبيرة في تطبيق واتساب، اتخذت شركة ميتا عدة تدابير عاجلة لمعالجة المشكلة وتعزيز أمان المنصة. إليك أبرز هذه التدابير:
1. تطبيق قيود على معدل الاستعلام:
* قامت ميتا بتطبيق نظام جديد لتحديد معدل الاستعلامات، مما يمنع إرسال عدد غير محدود من الطلبات في فترة زمنية قصيرة.
هذا الإجراء يهدف إلى تقليل إمكانية استغلال الثغرة من قبل أي جهة.
2. تشديد رؤية المعلومات الشخصية:
تم تعديل إعدادات الخصوصية بحيث يتم تقييد الوصول إلى الصور الشخصية ونصوص التعريف حتى لو كانت هذه المعلومات عامة.
هذا يساعد في حماية بيانات المستخدمين من التجميع غير المصرح به.
3. إزالة الطوابع الزمنية من استعلامات الصور الشخصية:
تم تعديل النظام بحيث لا يتم عرض الطوابع الزمنية المرتبطة بالصور الشخصية، مما يقلل من المعلومات المتاحة للباحثين أو المهاجمين.
4. تحسين أنظمة الأمان:
عملت ميتا على تعزيز أنظمة الأمان بشكل عام، بما في ذلك معالجة ثغرات أخرى محتملة مثل إعادة استخدام المفاتيح التشفيرية في تطبيقات غير رسمية.
تفعيل ميزة لتحقق بخطوتين.
5. التعاون مع الباحثين:
أشادت ميتا بالباحثين الذين اكتشفوا الثغرة، وأكدت على أهمية التعاون المسؤول في تعزيز الأمان.
تم العمل مع هؤلاء الباحثين لتطبيق التدابير التصحيحية اللازمة.
6. تأكيد حماية الرسائل:
أكدت ميتا أن محتوى الرسائل لا يزال محميًا بتقنية التشفير من طرف إلى طرف، وأن الثغرة لم تؤثر على خصوصية الرسائل نفسها، بل كانت تتعلق بالبيانات العامة المرتبطة بالحسابات.
تظهر هذه التدابير التزام ميتا بتحسين أمان منصاتها وحماية بيانات المستخدمين، خاصة بعد التحذيرات المتكررة حول الثغرات الأمنية.
خلاصة، تسلط هذه الحادثة الضوء على أهمية الأمان السيبراني في التطبيقات الشائعة مثل واتساب، وتظهر كيف يمكن لثغرات بسيطة أن تؤدي إلى تسريبات ضخمة للبيانات.
من الضروري أن تستمر الشركات في تحسين أنظمتها الأمنية لحماية بيانات المستخدمين من أي استغلال محتمل.
إرسال تعليق