المصدر 7 - كشف باحثون أمنيون من University of Vienna بالتعاون مع SBA Research عن وجود ثغرة كبيرة في نظام اكتشاف جهات الاتصال داخل تطبيق واتساب، تتيح إمكانية تعداد ما يصل إلى 3.5 مليار رقم هاتف مستخدم للتطبيق حول العالم تقريبًا. 
وأشارت الدراسة إلى أن تلك الأرقام يمكن ربطها — في كثير من الحالات — ببيانات الملف الشخصي للمستخدم، مثل صورة الملف الشخصي والنصوص القصيرة (“حول” about-text). 
الثغرة استهدفت خاصية “اكتشاف جهات الاتصال” (contact discovery) في واتساب، التي تتحقق ما إذا كان رقم هاتف معين مسجّلاً في الخدمة. وقد نجح الباحثون في توجيه طلبات متكرّرة وغير محدودة تقريبًا نحو خوادم واتساب، ما مكّنهم من تجميع أرقام بشكل واسع. 
من بين الأرقام التي جُمعت، تمكّن الباحثون من الوصول إلى صور الملف الشخصي لحوالي 57٪ من الحسابات، وإلى النصوص “حول” لحوالي 29٪ من الحسابات. 
رغم أن محتوى الرسائل لا يزال محميًا بالتشفير التام من طرف إلى طرف، إلا أن ما يُعرف بـ “الميـتـا-بيانات” (مثل رقم الهاتف، الصورة، نص الحالة) لم يكن محميًا من هذا النمط من الاستهداف. 
ردّ الفعل والإصلاح

بحسب التقرير، تلقّت شركة Meta Platforms، مالكة واتساب، إخطارًا من الباحثين، وبعد ذلك بادرت إلى «تخفيف» الثغرة من خلال فرض حدود على عدد الطلبات (rate-limiting) لدى بعض المستخدمين، وإن كانت الشركة قالت إن البيانات التي تم الوصول إليها كانت “متاحة للجمهور بشكل افتراضي” بحسب تصميم التطبيق. 
الأهمية والمخاطر

يُعدّ هذا الكشف أحد أوسع الثغرات المكتشفة في تطبيق شائع عالميًّا من حيث عدد الحسابات التي يُحتمل أن تكون متأثرة.

الثغرة لا تؤدي إلى اختراق محتوى الرسائل، لكنها تتيح الوصول إلى أرقام هواتف ومعلومات ملفّات شخصية، مما قد يشكّل مدخلاً لحملات تصيّد (phishing)، أو تجميع ملفات بيانات مستخدمين، أو استهدافات مضاعفة عبر رقم الهاتف.

يثير الأمر تساؤلات بشأن الاعتماد على رقم الهاتف كمُعرف أساسي في التطبيقات، وإمكانية تعديل التصاميم التقنية لتقليل هذا النوع من المخاطر (مثل الانتقال إلى أسماء مستخدمين بدل الأرقام). 
توصيات للمستخدمين

تفعيل التحقّق بخطوتين (two-step verification) داخل واتساب إن لم يكن مفعلًا.

مراجعة إعدادات الخصوصية للملف الشخصي، مثل تحديد من يمكنه رؤية الصورة، من يمكنه رؤية الحالة.

الانتباه لأي رسائل تطلب تأكيد رقم الهاتف أو إرسال أكواد تحقق — لأن الأرقام قد تكون مكشوفة جزئيًا، واستهداف الهاتف يصبح أسهل.

تحديث التطبيق بانتظام لتضمن تلقي الإصلاحات الأمنية من شركة واتساب.