يعتبر تطبيق واتساب واحدًا من أكثر تطبيقات المراسلة الفورية استخدامًا في العالم، بعدد مستخدمين يتجاوز ملياري مستخدم نشط شهريًا. السبب الرئيسي لانتشاره ليس فقط سهولة الاستخدام، بل أيضًا اعتماده على رقم الهاتف، مما يجعل التواصل فوريًا وسهلًا… لكن نفس الأسلوب البسيط لعب دورًا كبيرًا في ظهور ثغرة جديدة كشفت بيانات ملايين المستخدمين خلال الأيام الماضية.
ما هي الثغرة التي ظهرت في واتساب؟
هل تهدد محادثاتك؟
كيف تم جمع مليارات الأرقام؟
لماذا تعتبر مشكلة "خصوصية" وليست "اختراقًا"؟
وما هي أهم الخطوات العملية لحماية حسابك؟
هذا المقال مكتوب بصياغة مبسطة تساعد المستخدم العادي على الفهم، ولكنه يتضمّن أيضًا تحليلًا تقنيًا دقيقًا لمحترفي الأمن السيبراني.
ما هي الثغرة التي ظهرت في واتساب؟
بدأ الأمر حين تم رصد أن جهات عدة — أغلبها تستخدم أدوات "Data Scraping" — استطاعت جمع مليارات الأرقام المسجّلة على واتساب من خلال آلية بسيطة:
عندما تضيف رقمًا جديدًا في هاتفك، يقوم واتساب مباشرة بإرسال طلب للسيرفر ليخبرك هل الرقم مسجل على التطبيق أم لا.
هذا السلوك طبيعي وموجود منذ إطلاق التطبيق، لكنه فتح بابًا كبيرًا أمام من يملك القدرة على فحص ملايين الأرقام في دقائق.
الثغرة لا تُعدّ "اختراقًا" بالمعنى التقليدي…
بل هي إساءة استخدام لخاصية موجودة في التطبيق أصلاً.
كيف تم جمع مليارات الأرقام من واتساب؟
أي جهة تملك أداة أو برنامج يمكنه تجربة ملايين الأرقام (سواء أرقام تسلسلية أو عشوائية) تستطيع بسهولة:
-
إرسال طلب فحص كل رقم
-
استلام رد من واتساب يخبرها:
-
هل الرقم مسجّل أم لا؟
-
ما هي صورة الحساب إذا كانت خصوصيتها عامة
-
ما هو الاسم الظاهر
-
ما هي الحالة (Bio / About)
-
-
حفظ البيانات في قواعد بيانات ضخمة
هذه العملية اسمها تقنيًا:
Number Enumeration + Data Scraping
وهي نفس الطريقة التي يتم بها جمع بيانات من منصات أخرى مثل تيليجرام وفيسبوك.
اقرأ أيضًا: ازاي تحصل على دومين مجاني من نيم شيب لمدة سنة كاملة: الدليل الشامل للمبتدئين
هل هذا يعني أن محادثاتك اتفتحت؟
الإجابة الواضحة: لا.
ثغرة واتساب لا تخترق التشفير ولا تمسّ الرسائل.
التطبيق ما زال يعتمد على تشفير End-to-End Encryption، الذي يمنع واتساب نفسه من قراءة محادثاتك، فما بالك بالهاكرز.
إذن أين الخطر؟
الخطر في المعلومات العامة الظاهرة في حسابك، والتي يمكن استغلالها في:
-
حملات نصب
-
رسائل مزعجة (Spam)
-
رسائل احتيالية عبر واتساب أو SMS
-
بناء قواعد بيانات للبيع
-
انتحال الهوية باستخدام الصورة والاسم
-
محاولات الهندسة الاجتماعية Social Engineering
لماذا تُعدّ هذه مشكلة خصوصية خطيرة؟
لأن المستخدم العادي لا يعرف غالبًا أن:
-
صورته مرئية للعامة
-
حالته مرئية للعامة
-
اسمه قد يكون ظاهرًا لأي شخص
-
رقم هاتفه يمكن أن يُجرّب آليًا ضمن ملايين الأرقام
هذا يعني أن شخصًا ما قد يعرف عنك أكثر مما تتوقع من مجرد رقم هاتفك.
تخيّل:
لو إعدادات خصوصيتك مفتوحة، يمكن لأي جهة رؤية صورتك الشخصية — وربما صورة أولادك أو بيتك — بدون إذنك.
وهنا تبدأ دائرة استغلال البيانات.
التفسير التقني المختصر للثغرة
للمهتمين بالجانب التقني، ما حدث يُلخّص كالتالي:
-
واتساب يسمح API ضمنيًا بالتحقق من وجود رقم على المنصة.
-
الرد من السيرفر يحتوي بيانات عامة (Public Metadata).
-
الجهات التي تجمع البيانات استخدمت "Enumeration Scripts" لفحص ملايين الأرقام.
-
واتساب لا يملك آلية لمنع “الطلبات المتكررة الكثيفة”.
-
النتيجة: تجميع ضخم وممنهج للمعلومات.
هذه ليست ثغرة Classic Vulnerability مثل SQL Injection أو RCE، لكنها ثغرة تصميم (Design Flaw) مبنية على طريقة عمل التطبيق.
هل يمكن حل المشكلة بالكامل من واتساب؟
نظريًا: نعم.
عمليًا: ليست بهذه البساطة.
الحل المثالي قد يكون أن يقوم واتساب بـ:
-
وضع قيود Rate Limit صارمة
-
إخفاء الصورة والاسم افتراضيًا
-
طلب إذن المستخدم قبل إظهار بياناته
-
تغيير طريقة اكتشاف جهات الاتصال
لكن تنفيذ ذلك على تطبيق يستخدمه 2 مليار شخص قد يؤدي لتعطيل وظائف أساسية يعتمد عليها المستخدمون.
ولهذا السبب المشكلة مستمرة منذ سنوات — وظهرت مجددًا على نطاق أكبر هذه المرة.
ما الذي يعنيه هذا بالنسبة للمستخدم العادي؟
لو معلومات حسابك (الصورة – الاسم – الحالة) ظاهرة لأي شخص، فهناك احتمال كبير أنها أصبحت في قواعد بيانات عالمية.
لكن الخبر الجيد؟
هناك خمس خطوات بسيطة تحميك بنسبة كبيرة جدًا.
5 خطوات لحماية حسابك من التسريب والاستغلال
1) تحديث تطبيق واتساب
يجب دائمًا استخدام آخر إصدار، لأن كل تحديث يحتوي إصلاحات أمان.
2) جعل الصورة – الحالة – النبذة = جهات الاتصال فقط
هذه أهم خطوة على الإطلاق.
إذا كانت الخصوصية مفتوحة، فصورتك تُعتبر معلومة "عامّة".
3) تفعيل التحقق بخطوتين (Two-Step Verification)
تمنع أي شخص من تفعيل حسابك على جهاز آخر بدون PIN إضافي.
4) تجاهل أي رسائل من أرقام مجهولة
خاصة التي تطلب منك:
-
كود
رابط
-
معلومات شخصية
5) عدم مشاركة رمز التفعيل مع أي شخص
رمز التفعيل هو مفتاح الحساب، وأي شخص يحصل عليه يستطيع سرقة الحساب بالكامل.
هل هناك علامات تدل على أن بياناتك تم جمعها؟
للأسف لا توجد وسيلة رسمية لمعرفة ذلك، لأن عملية جمع البيانات تتم خارج واتساب.
لكن:
إذا بدأت تستقبل رسائل سبام أو عروض غريبة أو رسائل من أرقام دولية مجهولة، فغالبًا رقمك كان ضمن البيانات المسحوبة.
هل من المهم نشر الوعي عن الثغرة؟
نعم… بشكل كبير.
بحسب تقارير الأمن الرقمي، أكثر من 80% من المستخدمين لا يعرفون طريقة ضبط الخصوصية في واتساب.
والمشكلة الكبرى أن أغلبهم يعتمد على صورته الحقيقية، وأحيانًا صور أسرته.
نشر الوعي يخفف من الضرر المحتمل، ويمنع استغلال البيانات في عمليات نصب وهندسة اجتماعية.
هل الثغرة ستتكرر مستقبلًا؟
غالبًا نعم.
طالما يعتمد واتساب على رقم الهاتف كهوية رئيسية، سيظل دائمًا عرضة لمحاولات الفحص الجماعي للأرقام.
ولكن يمكن تقليل الضرر من خلال:
-
التوعية المستمرة
ضبط الخصوصية
-
عدم جعل أي معلومة شخصية متاحة للعامة
الخلاصة: هل يجب القلق؟
باختصار:
-
لا أحد قادر على قراءة محادثاتك.
نعم… بياناتك العامة يمكن أن تُجمع بسهولة.
-
الحل في يدك: ضبط الخصوصية أفضل حماية متاحة حاليًا.
واتساب ما زال تطبيقًا آمنًا للمحادثات، لكن ليس آمنًا كفاية من حيث البيانات الظاهرة.
الفرق كبير… وضروري جدًا لكل مستخدم أن يفهمه.
إرسال تعليق