تسريب عالمي محتمل: كيف ترك واتساب باب الخصوصية مفتوحًا 7 سنوات؟
في واقعة تهز الثقة في واحد من أكثر التطبيقات استخدامًا عالميًا، ظهرت تقارير بحثية جديدة تكشف وجود ثغرة خطيرة في واتساب سمحت بجمع أرقام الهواتف وصور الملفات الشخصية لمليارات المستخدمين من غير ما يشعروا. ورغم إن ميتا وصفت المشكلة بأنها “خلل تقني بسيط”، إلا إن التفاصيل بتقول إنها كانت مشكلة تصميم مهملة بقالها سنوات طويلة تحت السطح.
بداية القصة: ثغرة بسيطة.. ونتيجة مرعبة
فريق بحث من جامعة فيينا قدر يجمع 3.5 مليار رقم هاتف عن طريق استغلال نقطة ضعف في ميزة "اكتشاف جهات الاتصال". الميزة دي المفروض تساعد المستخدم إنه يعرف مين من أصحابه موجود على واتساب، لكن للأسف كانت مفتوحة بلا قيود تسمح لأي جهة إنها تعمل ملايين عمليات الفحص في الساعة بدون ما النظام يوقفها أو حتى يحذرها.
المقلق أكتر إن العملية كانت أوتوماتيكية بالكامل. يعني أي حد عنده الأدوات المناسبة يقدر يعرف إذا كان رقم معين على واتساب ولا لأ، ويشوف صورته الشخصية والـBio بتاعته، وكله بدون ما المستخدم يحس.
الباحثون علّقوا بجملة صريحة: "لو الأسلوب ده وقع في الأيد الغلط.. كنا هنشوف أكبر تسريب بيانات في تاريخ السوشيال ميديا."
ثغرة عمرها 7 سنين
المفاجأة الأكبر إن الثغرة موجودة من 2017! يعني سبع سنوات كاملة والباب مفتوح، رغم وجود تنبيهات سابقة وصلت لميتا بخصوص نفس النوع من المشاكل. المشكلة كانت بسيطة جدًا: خاصية مفيدة، لكن بدون أي حدود أو حماية تمنع استخدامها بشكل غير شرعي.
- النتيجة؟ نظام كامل بيُستخدم كل يوم من مليارات البشر اتعرض لخطر ضخم بدون ما حد يحس.
- ماذا قالت ميتا؟ في تصريح لمجلة Wired، قال نيتين جوبتا، نائب رئيس هندسة واتساب، إن الدراسة ساعدتهم يختبروا دفاعاتهم الجديدة وإن مفيش دليل إن حد استغل الثغرة قبل كده.
ميتـا وضحت إنها حطت قيود عالية على عدد الاستعلامات، وأكدت إن البيانات اللي اتجمعت "عامة" زي الرقم والصورة، وإن الرسائل فضلت مشفرة.
لكن الحقيقة إن إصلاح المشكلة أخد ست شهور كاملة بعد ما الباحثين راسلوهم، ودي مدة طويلة جدًا بالنسبة لثغرة بالحجم ده.
كيف تم استغلال الثغرة؟
الباحثون استخدموا واتساب ويب لإنشاء موجات ضخمة من طلبات البحث عن جهات الاتصال. النظام ماكانش بيقارن عدد الطلبات، فكان بيسمح بمسح ملايين الأرقام في وقت قياسي. والنتائج كانت صادمة:
- 57% من الحسابات كانت صورهم الشخصية متاحة.
- 29% كانت الـBio بتاعتهم مكشوفة.
- الثغرة اشتغلت حتى في الدول اللي واتساب محجوب فيها زي الصين وإيران وميانمار.
وده يفتح باب آخر من الخطورة: لو في دولة بتحجب التطبيق.. ازاي بيانات مستخدميها كانت مكشوفة؟
ماذا تعني هذه الحادثة للمستخدم العادي؟
الواقعة دي بتأكد إن الخصوصية الرقمية مش guaranteed زي ما الشركات بتحاول دايمًا تقول.
تطبيق ضخم زي واتساب، بيخدم مليارات البشر يوميًا، كان فيه ثغرة بتسمح لأي جهة إنها تبني أكبر قاعدة بيانات هواتف وصور في العالم.
ورغم إن المشكلة دلوقتي "اتصلحت"، لكن الأسئلة بتفضل مفتوحة:
- إزاي مرّت سبع سنين بدون اكتشاف؟.
- هل فعلاً محدش استغلها قبل الباحثين؟.
- وهل في ثغرات مشابهة مستخبية لسه محدش شافها؟.
اللي حصل مش مجرد "خلل بسيط" زي ما ميتا بتحاول تقدم الموضوع. اللي حصل كان باب مفتوح على مصراعيه لجمع بيانات مليارات البشر، والاعتماد الكلي على الثقة في الشركات الكبيرة واضح إنه بقى مخاطرة.
ولذلك، الواقعة دي بتفكرنا إن: أي تطبيق — مهما كان قوي — ممكن يبقى أضعف نقطة في خصوصيتنا.
