آخر تحديث :الأربعاء - 11 مارس 2026 - 08:37 ص

منوعات

ثغرة أمنية تسرب معلومات 3.5 مليار حساب واتساب

الخميس - 20 نوفمبر 2025 - 12:40 ص بتوقيت عدن

العين الثالثة/ متابعات

كشف باحثون في الأمن السيبراني من جامعة "فيينا" بالنمسا أن ثغرة في تطبيق التراسل الفوري "واتساب" أدت إلى تسرب بيانات 3.5 مليار حساب.

وأوضح الباحثون في تقرير أمني نشر في موقع الجامعة، بالتعاون مع مؤسسة SBA Research أن "آلية اكتشاف جهات الاتصال" داخل التطبيق تسببت في تسريب مليارات البيانات، مؤكدين أن شركة "ميتا" عالجت الثغرة بعد إبلاغ الفريق عنها.

وتعتمد "آلية اكتشاف جهات الاتصال" في "واتساب" على استخدام دفاتر عناوين المستخدمين للعثور على مستخدمين آخرين عبر أرقام هواتفهم.

وقال الباحثون إنهم استخدموا الآلية نفسها لإجراء عدد ضخم من الاستعلامات تجاوز 100 مليون رقم هاتف في الساعة عبر بنية واتساب التحتية، ما سمح لهم بتأكيد وجود، والوصول إلى بيانات أكثر من 3.5 مليار حساب نشط في 245 دولة.

وقال المؤلف الرئيسي للتقرير، غابريال غيغنهوبر من جامعة فيينا: "لا ينبغي لأي نظام أن يستجيب لعدد هائل من الطلبات في وقت قصير، خصوصا عندما يأتي من مصدر واحد. هذا السلوك كشف العيب الأساسي الذي سمح لنا بإرسال عدد محدود من الطلبات للخادم وبالتالي رسم خريطة لبيانات المستخدمين حول العالم".

وتشمل البيانات التي تتيح الثغرة الوصول إليها المعلومات نفسها المتاحة لأي مستخدم يعرف رقم هاتف المستخدم الآخر، وتشمل: رقم الهاتف، المفاتيح العامة، الطوابع الزمنية، نص الحالة، وصورة الملف الشخصي.

وانطلاقا من هذه البيانات تمكن الباحثون من تحديد نظام تشغيل المستخدم، عمر الحساب، وعدد الأجهزة المرتبطة به.

وأكدوا أن هذه البيانات، رغم محدوديتها، إلا أنها مكنت من كشف أنماط المستخدمين على المستويين الفردي والجماعي.

وكشفت الدراسة أيضا وجود ملايين الحسابات النشطة في دول تحظر فيها الخدمة رسميا مثل الصين، وإيران، وميانمار.

وأظهر التقرير كذلك أن 81 بالمئة من مستخدمي "واتساب" يستخدمون هواتف "أندرويد"، بينما يستخدم 19 بالمئة هواتف "iOS".

وبعد اكتشاف الثغرة تواصل الباحثون مع الشركة الأم تمكنت من إغلاق الثغرة.

وقال الباحثون إن التجربة لم تتضمن أي محاولة للوصول إلى الرسائل، وإنهم لم ينشروا أو يشاركوا أي بيانات شخصية، مؤكدين أنهم حذفوا جميع البيانات التي جمعوها قبل نشر الدراسة.

ومن المقرر عرض التقرير بالكامل خلال ندوة أمن الشبكات والأنظمة الموزعة لعام 2026.