- أظهر باحثون في فيينا إحصاءً جماعيًا للأرقام على تطبيق واتساب على نطاق عالمي.
- تم الحصول على 3.500 مليار رقم، 57% منها صور شخصية و29% رسائل نصية عامة.
- نفذت شركة Meta حدودًا للسرعة في أكتوبر وتزعم أن تشفير الرسائل لم يتأثر بذلك.
- يتضمن الخطر عمليات احتيال مستهدفة والتعرض في البلدان التي يُحظر فيها استخدام WhatsApp.
وقد سلط تحقيق أكاديمي الضوء على ثغرة أمنية في نظام اكتشاف جهات الاتصال واتساب، والذي عندما يتم استغلاله على نطاق واسع، لقد سمح بالتحقق من أرقام الهواتف والربط الجماعي لبيانات الملف الشخصي بها.يصف هذا الاكتشاف كيف يمكن لعملية تطبيق روتينية أن تصبح، إذا تكررت بوتيرة صناعية، مصدرًا لتعرض المعلومات.
وأظهرت الدراسة التي أجراها فريق من جامعة فيينا أنه من الممكن التحقق من وجود حسابات مليارات من مجموعات الأرقام من خلال نسخة الويب، دون أي حجب فعال لعدة أشهر. ووفقًا للمؤلفين، لو لم تُنفَّذ هذه العملية بمسؤولية، لكنا نتحدث عن أحد أكبر حالات الكشف عن البيانات التي تم توثيقها على الإطلاق.
كيف تجسدت الفجوة: التعداد الجماعي
لم تكن المشكلة تتعلق بكسر التشفير، بل كانت تتعلق بضعف مفاهيمي: أداة البحث عن جهات الاتصال يتيح تطبيق واتساب للمستخدمين التحقق من تسجيل رقم الهاتف؛ وتكرار هذا التحقق تلقائيًا وعلى نطاق واسع فتح الباب أمام التتبع العالمي.
استخدم الباحثون النمساويون واجهة الويب لاختبار الأرقام بشكل مستمر، ووصلوا إلى معدل تقريبي يبلغ 100 مليون فحص في الساعة دون أي حدود سرعة فعّالة خلال الفترة المشمولة بالتحليل. وقد أتاح هذا الحجم استخراجًا غير مسبوق.
وكانت نتيجة التجربة حاسمة: فقد تمكنوا من الحصول على أرقام هواتف من 3.500 مليار حساب من ال WhatsApp. بالإضافة إلى ذلك، تمكنوا من ربط بيانات الملف الشخصي المتاحة للجمهور بجزء كبير من تلك العينة.
وعلى وجه التحديد، لاحظ الفريق أن تم الوصول إلى صور الملف الشخصي في 57% من الحالات، والنصوص الحالة العامة أو المعلومات الإضافية في 29%.وعلى الرغم من أن هذه الحقول تعتمد على تكوين كل مستخدم، فإن تعرضها على نطاق واسع يؤدي إلى تضخيم المخاطر.
- 3.500 مليار رقم تم التحقق من تسجيله على WhatsApp.
- 57% مع صورة شخصية متاحة للعامة.
- 29% مع نص الملف الشخصي القابل للبحث.
التحذيرات السابقة التي لم يتم الالتفات إليها في الوقت المناسب
ولم يكن ضعف التعداد جديدا تماما: بالفعل في عام 2017، الباحث الهولندي لوران كلوز وحذر من أنه من الممكن أتمتة عملية التحقق من الأرقام وربطها بالبيانات المرئية.لقد كان هذا التحذير بمثابة نذير للوضع الحالي.
وقد أخذ العمل الأخير الذي قامت به فيينا هذه الفكرة إلى أقصى حد أظهر ذلك الاعتماد على رقم الهاتف كمعرف فريد يظل مشكلةوكما يشير المؤلفون، فإن الأرقام لم يتم تصميمها لتكون بمثابة أوراق اعتماد سريةلكن في الممارسة العملية فإنهم يقومون بهذا الدور في العديد من الخدمات.
ومن الاستنتاجات المهمة الأخرى التي توصلت إليها الدراسة أن الكثير من المعلومات الشخصية تحتفظ بقيمتها بمرور الوقت: ووجد الفريق أن 58% من الهواتف التي تم الكشف عنها في تسريبات فيسبوك لعام 2021 ما زالوا نشطين على WhatsApp حتى يومنا هذا.، مما يسهل الارتباطات والحملات المستمرة.
بالإضافة إلى الأرقام، سمحت عملية الاستعلام الشامل باستنتاج بعض البيانات الوصفية الفنيةمثل نوع العميل أو نظام التشغيل الموظف ووجود إصدارات سطح المكتب، مما يضيف مساحة سطحية للملف الشخصي.
رد ميتا: حدود السرعة والموقف الرسمي
الباحثون أبلغوا النتائج إلى Meta في أبريل وقاموا بحذف قاعدة البيانات التي تم إنشاؤها بعد التحقق من صحتها.ومن جانبها قامت الشركة بتنفيذه في شهر أكتوبر إجراءات أكثر صرامة للحد من المعدلات لمنع التعداد واسع النطاق عبر الويب.
وفي تصريحات أرسلتها إلى وسائل الإعلام المتخصصة، أعربت ميتا عن امتنانها للإخطار من خلال برنامجها مكافآت الفشل أكد أن المعلومات المعروضة هي ما حدده كل مستخدم ليكون مرئيًا. كما ذكر أنه لم يعثر على أي دليل على إساءة استخدام هذه الطريقة.
وأصرت الشركة على أن ظلت الرسائل محمية بسبب التشفير الشامل وعدم الوصول إلى أي بيانات غير عامة. لم يكن هناك أي مؤشر على تعطل نظام التشفير.
بعد عدة اجتماعات فنية، كافأ واتساب البحث بـ الدولار الأمريكي 17.500بالنسبة للفريق، كانت العملية بمثابة قياس واختبار فعالية الدفاعات الجديدة التي تم نشرها بعد الإخطار.
المخاطر الحقيقية: من الاحتيال إلى الاستهداف في البلدان التي تفرض حظراً
إلى جانب الجوانب التقنية، فإن التأثير الرئيسي لهذا الاكتشاف عملي. فمع ظهور رقم الهاتف ومعلومات الملف الشخصي، يصبح الأمر أسهل بكثير. بناء حملات الهندسة الاجتماعية والاحتيالات المستهدفة التي تستغل المعلومات السياقية لكل ضحية.
كما حدد الباحثون ملايين الحسابات النشطة في المناطق التي يُحظر فيها تطبيق واتساب، مثل الصين أو إيران أو ميانمارإن ظهور هذه الأرقام قد يكون له عواقب شخصية أو قانونية على المستخدمين في سياقات المراقبة العالية.
إن التوافر الهائل للهواتف الصالحة يعزز البريد العشوائي والتصيد الاحتيالي بمستوى أعلى من الدقة، خاصة عندما تقدم صورة الملف الشخصي أو النص العام أدلة حول الهوية أو العمل أو الشبكات الاجتماعية المرتبطة.
ومن الجدير بالذكر أنه بمجرد إضافة المعلومات إلى قواعد بيانات ضخمة، يمكن أن تنتشر لسنوات، وتندمج مع تسريبات أخرى. إثراء الملفات الشخصية وزيادة فعالية الهجمات.
أوروبا وإسبانيا: لماذا هذا الأمر مهم هنا
في إسبانيا وبقية دول الاتحاد الأوروبي، حيث ينتشر تطبيق واتساب في كل مكان، أصبح عرض المعلومات على هذا النطاق واسعًا للغاية. قلق بشأن تأثيره المحتمل على ملايين المستخدمين والشركاتورغم أن ميتا قامت بتصحيح طريقة الترقيم، فإن الحادثة أعادت فتح النقاش حول التصميم الذي يعتمد على رقم الهاتف.
وتعتبر هذه القضية، التي تضم فريقًا من الجامعات الأوروبية، بمثابة تذكير بأن حتى الميزات المصممة للراحة - مثل العثور على جهات الاتصال على الفور - يمكن أن يصبحوا ناقلات للمخاطر إذا لم يكن لديهم دفاعات قوية ومُتحقق منها باستمرار.
كما يُسلِّط الضوء على ضرورة ضبط إعدادات الخصوصية بعناية. إذا كشفت صورة الملف الشخصي أو النص العام عن معلومات أكثر من اللازم، فإن انتشارها على نطاق واسع يُصبح... مضاعف التهديد للمستخدمين الخاصين والمحترفين.
بالنسبة للمنظمات والإدارات الأوروبية ذات الالتزامات الأمنية، يساعد الحد من رؤية البيانات وتعزيز إجراءات التحقق الداخلية خارج التطبيق على تقليل سطح الهجوم من حملات انتحال الشخصية أو الاحتيال.
ما يمكنك فعله الآن
في حالة عدم وجود معرف بديل، أفضل دفاع للمستخدم يتضمن ضبط الخيارات خصوصية الملف الشخصي واتبع عادات المراسلة الحكيمة.
- تقييد صورة الملف الشخصي والمعلومات على "جهات الاتصال الخاصة بي" أو "لا أحد".
- تجنب تضمين بيانات حساسة أو روابط شخصية في نص حالتك..
- كن حذرًا من الرسائل غير المتوقعة، حتى لو كانت تعرض اسمك أو صورتك.
- التحقق من أي طلبات عاجلة أو طلبات دفع من خلال قناة ثانوية.
على الرغم من أن الطريق المحدد للتعداد الشامل قد تم إغلاقه، إلا أن هذه الحلقة دليل على أن الجمع بين المعرفات العامة والإغفالات الصغيرة في الضوابط يمكن أن يؤدي إلى تعرضات هائلةيؤدي إبقاء ما يمكن للآخرين رؤيته من حسابك إلى الحد الأدنى إلى الحد من تأثير تقنيات الحصاد المستقبلية.
أظهرت الأبحاث النمساوية أن من الممكن استغلال وظيفة مشتركة على نطاق صناعي للتحقق من صحة مليارات الأرقام وربط الملفات الشخصية المرئية بها.لقد شددت شركة ميتا من القيود وتؤكد أنه لا يوجد دليل على الإساءة، ولكن مخاطر الهندسة الاجتماعيةوتسلط النتائج في البلدان التي تطبق حظراً واستمراراً للبيانات الضوء على الحاجة إلى مراجعة التصميم المبني على رقم الهاتف وتشجيع عادات الخصوصية الأكثر صرامة بين المستخدمين الأوروبيين.
أنا من عشاق التكنولوجيا وقد حول اهتماماته "المهووسة" إلى مهنة. لقد أمضيت أكثر من 10 سنوات من حياتي في استخدام التكنولوجيا المتطورة والتعديل على جميع أنواع البرامج بدافع الفضول الخالص. الآن تخصصت في تكنولوجيا الكمبيوتر وألعاب الفيديو. وذلك لأنني منذ أكثر من 5 سنوات أكتب لمواقع مختلفة حول التكنولوجيا وألعاب الفيديو، وأقوم بإنشاء مقالات تسعى إلى تزويدك بالمعلومات التي تحتاجها بلغة مفهومة للجميع.
إذا كان لديك أي أسئلة، فإن معرفتي تتراوح بين كل ما يتعلق بنظام التشغيل Windows وكذلك Android للهواتف المحمولة. والتزامي تجاهك هو أنني على استعداد دائمًا لقضاء بضع دقائق ومساعدتك في حل أي أسئلة قد تكون لديكم في عالم الإنترنت هذا.