في تقرير بحثي حديث، كشف فريق من جامعة فيينا ومركز SBA Research عن تمكنه من تجميع قاعدة بيانات ضخمة تضم 3.5 مليار رقم هاتف مسجل على واتساب إلى جانب معلومات شخصية مرتبطة بها، عقب استغلال ثغرة في واجهة Contact-Discovery API الخاصة بالمنصة، والتي كانت تفتقر تمامًا إلى نظام الحد من عدد الطلبات (Rate Limiting).
وأوضح الفريق أنه أبلغ شركة واتساب بالثغرة، وأن الأخيرة قامت لاحقًا بإضافة قيود على معدل الطلبات لمنع تكرار هذا النوع من الاستغلال مستقبلاً. ومع ذلك، يعكس هذا الاكتشاف مدى سهولة استغلال الواجهات المكشوفة من قِبل جهات خبيثة لسرقة البيانات على نطاق واسع.
ثغرة في واجهة واتساب تكشف مليارات الحسابات
اعتمد الباحثون على ميزة “اكتشاف جهات الاتصال” في واتساب، والتي تسمح بالتحقق مما إذا كان رقم الهاتف مرتبطًا بحساب نشط، من خلال إرسال طلب إلى واجهة GetDeviceList API.
ونظرًا لغياب أي قيود على حجم الطلبات، تمكن الفريق من إرسال عدد ضخم من الاستعلامات مباشرة إلى خوادم واتساب، بمعدل 100 مليون رقم في الساعة الواحدة.
وبحسب التقرير، أجريت العملية بالكامل من خلال خادم جامعي واحد باستخدام خمس جلسات مصادقة فقط، دون أن تقوم واتساب بحظر الحسابات، أو إبطاء حركة المرور، أو حتى التواصل مع الفريق، رغم حجم النشاط غير الطبيعي القادم من مصدر واحد.
بعد ذلك، أنشأ الباحثون مجموعة عالمية تضم 63 مليار رقم محتمل، ثم فحصوا جميعها عبر الواجهة، ليكتشفوا أن 3.5 مليار رقم مرتبطون بالفعل بحسابات واتساب نشطة.
خريطة عالمية لاستخدام واتساب
قدّم البحث نظرة غير مسبوقة على انتشار واتساب حول العالم، وكشف الدول الأكثر استخدامًا للمنصة:
-
الهند: 749 مليون مستخدم
-
إندونيسيا: 235 مليون
-
البرازيل: 206 ملايين
-
الولايات المتحدة: 138 مليونًا
-
روسيا: 133 مليونًا
-
المكسيك: 128 مليونًا
كما وجد الباحثون ملايين الحسابات النشطة في دول كانت واتساب محظورًا فيها حينها، مثل الصين وإيران وكوريا الشمالية وميانمار. ولوحظ استمرار نمو الاستخدام داخل إيران بعد رفع الحظر في ديسمبر 2024.
صور شخصية ونصوص تعريفية مكشوفة دون قيود
لم يقتصر الاستغلال على التحقق من الأرقام النشطة فحسب، إذ استخدم الفريق واجهات أخرى مثل:
GetUserInfo و GetPrekeys و FetchPicture
لجمع بيانات إضافية شملت:
-
الصور الشخصية
-
النصوص التعريفية (About)
-
الأجهزة المرتبطة بكل حساب
ففي اختبار للأرقام الأمريكية، تمكّن الباحثون من تحميل 77 مليون صورة شخصية دون أي قيود، كثير منها يحتوي على وجوه يمكن التعرف عليها. كما كشفت النصوص التعريفية العامة عن تفاصيل شخصية وروابط لحسابات أخرى.
وتبيّن أيضًا أن 58% من أرقام فيسبوك المسرّبة عام 2021 ما زالت نشطة على واتساب في 2025، ما يزيد من خطورة تسربات الأرقام، نظرًا لإمكانية استخدامها في أنشطة خبيثة لسنوات طويلة.
أكبر تسريب في التاريخ… لو تم نشره
أكد الباحثون في ورقتهم البحثية بعنوان
“Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”
أن البيانات التي جمعوها — رغم عدم نشرها — تعتبر أضخم تسريب بيانات محتمل في التاريخ لو خرجت للعلن، إذ تشمل:
-
أرقام الهواتف
-
التوقيتات
-
النصوص التعريفية
-
الصور الشخصية
-
المفاتيح العامة للتشفير التام بين الطرفين
وأشاروا إلى أن نشر مثل هذه البيانات قد يؤدي إلى تأثيرات خطيرة على المستخدمين حول العالم.
ليست المشكلة الأولى… واجهات API تتحول إلى بوابة للقرصنة
تُعد حادثة واتساب مثالًا صارخًا على مشكلة متكررة عبر منصات التقنية، حيث تصبح واجهات البرمجة غير المحمية هدفًا سهلًا للهجمات واسعة النطاق.
ومن أبرز الحوادث المشابهة:
-
فيسبوك (2021): استغلال ثغرة في ميزة “إضافة صديق” أدى إلى كشف بيانات 533 مليون مستخدم، وتغريم الشركة 265 مليون يورو.
-
تويتر: هجوم على واجهة API أدى إلى ربط 54 مليون رقم هاتف وبريد إلكتروني بحسابات منصة X.
-
Dell: تسريب 49 مليون سجل بعد استغلال واجهة غير محمية.
تشترك هذه الحوادث في غياب القيود على معدل الطلبات ضمن الواجهات التي تسمح بالبحث أو التحقق من الحسابات، ما يجعلها الأدوات المثالية لجمع البيانات على نطاق واسع.
