أكبر تسرب للبيانات بالتاريخ بسبب ثغرة في واتساب.. ما القصة؟
تاريخ النشر: 20th, November 2025 GMT
ثغرة خطيرة في واتساب تكشف أرقام الهواتف وصور الملفات الشخصية لمعظم مستخدمي الهواتف حول العالم.
تمكن فريق من الباحثين من جامعة فيينا من استخراج 3.5 مليار رقم هاتف باستخدام ما وصفوه بتقنية "بسيطة" استغلت نظام اكتشاف جهات الاتصال في واتساب.
وفقا لموقع "indiatoday"، أوضح الباحثون أن الخلل يكمن في آلية التحقق من تسجيل رقم الهاتف على واتساب، فبدلاً من الحد من عدد الاستعلامات التي يمكن للمستخدم إجراؤها، أفادت التقارير بأن واتساب يسمح بملايين عمليات التحقق في الساعة دون أي قيود أو تحذيرات.
ومن خلال أتمتة هذه العملية، تمكن الباحثون من اختبار نطاق واسع من أرقام الهواتف بشكل منهجي، وجمع بيانات تؤكد وجود حساب على واتساب، بالإضافة إلى صور الملفات الشخصية ونصوص الحالة المرتبطة بالعديد من هذه الحسابات.
وقد سمح هذا الخلل للباحثين ببناء قاعدة بيانات عالمية ضخمة تضم 3.5 مليار حساب نشط على واتساب.
وحذّروا من أنه لو وقع هذا الاستغلال في أيدٍ خاطئة، لكان من الممكن أن يؤدي إلى "أكبر تسرب للبيانات في التاريخ".
ميزة اكتشاف جهات الاتصاليُحذّر الباحثون من أن هذا الضعف في واتساب موجود منذ عام ٢٠١٧ على الأقل، على الرغم من أن ميتا كانت قد أُبلغت سابقًا بمخاطر مماثلة.
ووفقًا للباحثين النمساويين، فإن ميزة اكتشاف جهات الاتصال في واتساب مصممة لمزامنة سجل عناوين هواتف المستخدمين وتسهيل العثور عليهم، إلا أنها فتحت الباب، دون قصد، أمام جمع بيانات المستخدمين على نطاق واسع.
وأقرّت ميتا بوجود "الخلل" على الرغم من أنها لمّحت إلى أنه كان قرارًا تصميميًا تم تجاهله.
وفي تصريح لموقع Wired، الذي نقل نتائج باحثين نمساويين، قال نيتين جوبتا، نائب رئيس قسم الهندسة في واتساب: "رسائل المستخدمين آمنة بفضل التشفير الافتراضي الشامل في واتساب، ولم تكن أي بيانات غير عامة متاحة للباحثين".
بمعنى آخر، أشارت شركة ميتا لوجود “الخلل” ولكن أكدت أنه تم إصلاحه، مؤكدة أن البيانات العامة فقط هي التي تم الكشف عنها، لأنها تعتبر رقم الهاتف أو صور الملف الشخصي العامة بيانات متاحة للعامة.
في غضون ذلك، أوضح الباحثون أنه باستخدام واتساب ويب كواجهة، تمكنوا من إرسال طلبات كشف جهات الاتصال على نطاق واسع، وجمع ملايين الإدخالات كل ساعة.
ولاحظوا أنه بالنسبة لحوالي 57% من الحسابات التي تم تحديدها، كانت صور الملفات الشخصية متاحة، وبالنسبة لـ 29%، كان نص الملف الشخصي مرئيًا.
والأمر الأكثر إثارة للقلق هو أن هذه التقنية نجحت حتى في الدول التي يُحظر فيها واتساب، بما في ذلك الصين وإيران وميانمار وكوريا الشمالية، ما قد يُعرّض الأشخاص للخطر بسبب تسريبها معلومات مستخدمي واتساب النشطين.
بعد إدراك خطورة الخلل، أفاد الباحثون أنهم أبلغوا ميتا به وحذفوا قاعدة البيانات فور انتهاء الدراسة.
وأشار التقرير إلى أن ميتا استغرقت حوالي ستة أشهر لإصلاح التطبيق وتطبيق حدود السرعة.
المصدر: صدى البلد
كلمات دلالية: واتساب أرقام الهواتف مستخدمي الهواتف جمع بيانات فی واتساب
إقرأ أيضاً:
تسريب 1.3 مليار كلمة مرور.. القصة وراء أكبر سرقة إلكترونية
إذا لم تتأكد بعد مما إذا كانت بياناتك قد تسربت إلي أيدي القراصنة، فقد آن الأوان للقيام بذلك، خاصة بعد الكشف عن تسريب ضخم يضم 1.3 مليار كلمة مرور فريدة إلى جانب 2 مليار عنوان بريد إلكتروني منتشر على الإنترنت.
ولا يعد ما جري اختراقا جديدا لأنظمة شركة كبرى أو متجر معروف، بل هو نتاج عملية جمع واسعة نفذتها شركة استخبارات تهديدات إلكترونية تدعى Synthient، التي قامت بالبحث في الإنترنت العادي والمظلم للعثور على عناوين البريد الإلكتروني وكلمات المرور المسربة، وإذا كان اسم الشركة مألوفا، فذلك لأنها كتشفت مؤخرا عن تسريب يضم أكثر من 183 مليون حساب بريد إلكتروني مسرب.
تشمل الغالبية العظمى من هذه البيانات قوائم تسجيل دخول مستخلصة من خروقات سابقة، حيث تم الكشف عن كلمات المرور وعناوين البريد الإلكتروني، ثم تباع هذه القوائم لمجرمي الإنترنت لاستخدامها في هجماتهم الخاصة.
وفي هذه المرة، قامت Synthient بجمع جميع 2 مليار بريد إلكتروني و1.3 مليار كلمة مرور، وبالتعاون مع Troy Hunt وخدمة Have I Been Pwned، أصبح بإمكان المستخدمين الآن البحث لمعرفة ما إذا كانت بياناتهم الشخصية مكشوفة على الإنترنت.
من الإنترنت المظلم إلى خدمة Pwned Passwords
جمع مؤسس Synthient، Benjamin Brundage، هذه الكمية الضخمة من البيانات من مواقع متعددة على الإنترنت العادي والمظلم حيث يدور مجرمو الإنترنت عادة بيانات مسروقة.
وتشمل البيانات كلمات مرور قديمة من خروقات سابقة وحسابات مسروقة حديثا بواسطة برامج ضارة تسرق المعلومات مباشرة من أجهزة المستخدمين.
للتحقق من صحة البيانات، استخدم “تروي هانت” أحد بريده الإلكتروني القديم الذي كان قد ظهر سابقا في قوائم تسريب البيانات، وتبين أن هذا البريد وكلمات المرور المرتبطة به موجودة بالفعل ضمن البيانات التي جمعتها Synthient.
وبعد التحقق، تعاون “هانت” مع عدد من مشتركي خدمة Have I Been Pwned للتأكد من وجود بيانات جديدة لم تنشر سابقا.
تقوم خدمة Pwned Passwords بتحميل كلمات المرور المكشوفة دون تخزين عناوين البريد المرتبطة بها، لضمان الخصوصية وحماية المستخدمين من سوء الاستخدام.
للتحقق مما إذا كانت أي من كلمات مرورك الحالية مسروقة، يمكن زيارة صفحة البحث في Pwned Passwords، حيث تتم العملية بشكل آمن في متصفحك دون إرسال كلمات المرور عبر الإنترنت.
وإذا ظهرت أي كلمة مرور ضمن القائمة، ينصح بتغييرها فورا.
ويمكن استخدام برامج إدارة كلمات المرور مثل Bitwarden وLastPass وProtonPass لتوليد كلمات مرور قوية وجديدة، أو استخدام مولدات كلمات مرور مجانية متاحة على الإنترنت.
نصائح لحماية كلمات المرور من القراصنة1. تجنب إعادة استخدام كلمات المرور: لا تستخدم نفس كلمة المرور مع أكثر من موقع أو خدمة، لأن القراصنة عادة ما يجربون بيانات مسروقة على مواقع متعددة عملية تعرف باسم Credential Stuffing.
2. استخدام كلمات مرور قوية وفريدة: استخدم مولد كلمات مرور لتكوين كلمات مرور معقدة لكل حساب.
3. تفعيل المصادقة الثنائية 2FA: تضيف طبقة حماية إضافية حتى إذا كانت كلمة المرور مسروقة.
4. حماية الأجهزة من البرمجيات الخبيثة: تثبيت برامج مكافحة الفيروسات على الكمبيوتر والهواتف الذكية لمنع برامج سرقة البيانات Infostealers.
5. استخدام مفاتيح الدخول Passkeys: طريقة جديدة لتسجيل الدخول باستخدام زوج من المفاتيح المشفرة، مقاومة للتخمين والهجمات الاحتيالية.
كوراساو أصغر دولة في العالم تصل إلى نهائيات مونديال 2026