أكبر كشف لأرقام الهواتف في التاريخ: كيف سمح واتساب بتعداد 3.5 مليار رقم هاتف حول العالم؟

في لحظة تبدو للوهلة الأولى بريئة تماماً، يطلب تطبيق واتساب عند تثبيته السماح بالوصول إلى سجل العناوين في هاتفك. خطوة اعتاد عليها معظم المستخدمين، إذ يتيح التطبيق عبرها تحديد معارفك ممن يستخدمون الخدمة، مظهراً الاسم والصورة الشخصية إن وجدا.

إلا أن فريقاً بحثياً من النمسا كشف أن هذه الميزة البسيطة يمكن أن تتحول إلى أداة مسح عالمية قادرة على تعداد أرقام مستخدمي واتساب في العالم بأسره. فبمجرد إرسال مليارات الأرقام المحتملة إلى خوادم واتساب، استطاع الباحثون تحديد ما يقرب من 3.5 مليار رقم نشط على التطبيق، فيما وصفوه بأكبر كشف من نوعه لأرقام الهواتف في التاريخ.

ثغرة بلا اختراق: تحويل ميزة “اكتشاف جهات الاتصال” إلى ماسح عالمي

تعتمد آلية اكتشاف جهات الاتصال في واتساب على ثلاث خطوات رئيسية:

1. يرسل التطبيق نسخاً مشفرة من أرقام سجلك الهاتفي إلى خوادم واتساب.
2. تقارن هذه الأرقام بقاعدة البيانات المركزية للتطبيق.
3. يعرض التطبيق الأرقام التي تملك حسابات نشطة مع أي معلومات عامة اضافها المستخدم.

إلا أن الباحثين من جامعة فيينا وSBA Research اكتشفوا، في دراسة حملت عنوان “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy”، أن البروتوكول لا يشترط أن تكون الأرقام المرسلة حقيقية أو ضمن جهات اتصال المستخدم. فبإمكان أي طرف إرسال قوائم ضخمة من الأرقام العشوائية وطرح السؤال التالي: “هل يستخدم هذا الرقم واتساب؟”. وهكذا، مرة بعد مرة، عبر نطاق عالمي.

وباستخدام واجهة واتساب ويب، وبغياب أي قيود تذكر على معدل الاستعلامات، تمكن الفريق من فحص أكثر من 100 مليون رقم في الساعة من عنوان IP واحد، ما أتاح لهم مسح كل الأرقام المحتملة في 245 دولة وإقليماً، وخلصوا إلى حصر 3.5 مليار حساب نشط، أي أكثر من التقديرات المنشورة التي تتراوح بين 2.9 و3.3 مليار مستخدم.

اللافت أن ما حدث لم يكن اختراقاً تقنياً بالمعنى التقليدي؛ إذ لم يكسر الباحثون التشفير، ولم يتجاوزوا آليات المصادقة. بل استخدموا ميزة مشروعة على نطاق لم يتوقعه مطورو التطبيق.

بيانات تجاوزت الأرقام!

عند التأكد من أن رقماً ما يملك حساباً نشطاً، استطاع الباحثون الحصول على بيانات أخرى أتاحها صاحب الحساب للعموم، مثل:

• صورة الملف الشخصي.
• النص التعريفي أو الحالة (About).
• الطوابع الزمنية المرتبطة بنشاط الحساب.
• المفاتيح العلنية المستخدمة في التشفير طرفاً لطرف.

ومن خلال هذه البيانات توصلوا إلى معلومات دقيقة، مثل:

• نوع نظام التشغيل (أندرويد أو iOS).
• عمر الحساب.
• عدد الأجهزة المرتبطة بالحساب، كجلسات واتساب ويب.

وتكشف الدراسة اختلافات لافتة بين الدول في مستوى الانفتاح:

• ففي الولايات المتحدة، تعرض 44% من الحسابات صورة شخصية، ويعرض ثلثها تقريباً نص About.
• في الهند، تظهر 62% من الحسابات صوراً شخصية.
• في البرازيل، بلغت نسبة الحسابات التي تستخدم صوراً شخصية 61%.

كما أظهرت البيانات أن 81% من مستخدمي واتساب حول العالم يستخدمون هواتف أندرويد.

ومن المهم الإشارة إلى أن محتوى الرسائل بقي محمياً بالكامل؛ فالتعداد لم يمس التشفير، بل تعرض فقط لطبقة البيانات الخارجية للحساب.

مستخدمون في دول محظورة، وخطر يتجاوز الجرائم السيبرانية

أحد أكثر الجوانب إثارة للقلق هو ظهور ملايين الحسابات في دول تحظر استخدام واتساب رسمياً، مثل الصين وإيران وميانمار. وأكد الباحثون ظهور:

• نحو 2.3 مليون حساب في الصين.
• ما يقرب من 1.6 مليون في ميانمار.

وفي مثل هذه السياقات، قد يشكل مجرد إثبات استخدام التطبيق سبباً كافياً للملاحقة. فبحسب تقارير صحفية، اعتقل بعض المسلمين في الصين لتثبيتهم تطبيق واتساب على أجهزتهم. لذا تنوه الدراسة إلى إمكانية استغلال الحكومات هذه الثغرة لتحديد من يستخدم واتساب سرياً داخل حدودها.

كنز للمحتالين: أرقام نشطة ومحدثة بدقة

يعد الحصول على قائمة حديثة من أرقام واتساب النشطة مكسباً ثميناً للمحتالين، إذ يسهل:

• تحسين قوائم spam والرسائل الاحتيالية.
• ربط الأرقام بمعرفات في تسريبات أخرى لبناء ملفات شخصية دقيقة.

كما أظهر الباحثون أن 58% من أرقام تسريب فيسبوك الشهير عام 2021 (أكثر من 530 مليون رقم) ما تزال نشطة على واتساب حتى اليوم، ما يخلق فرصة مثالية لهجمات تصيد موجهة.

ويأتي ذلك بالإضافة إلى تسريب عام 2022 الذي سوق المهاجمون فيه لبيع قاعدة بيانات تضم قرابة 500 مليون رقم واتساب.

مفاتيح مكررة وحسابات “صفرية”

وعند فحص مفاتيح التشفير على نطاق واسع، وجد الباحثون مجموعة من الظواهر المثيرة للقلق:

• مفاتيح عامة مستخدمة في مئات الحسابات المختلفة.
• نحو 20 رقماً أمريكياً تستخدم مفتاحاً عاماً مكوناً بالكامل من أصفار.

ويرجح الفريق أن هذه الحالات ليست خللاً في واتساب ذاته، بل نتيجة استخدام نسخ غير رسمية من التطبيق، يرجح أن مجموعات احتيال تستخدمها، وتطبق بروتوكولات التشفير بطريقة سيئة أو مزيفة.

من صدفة إلى مشروع عالمي..

بدأت الدراسة بمحاولة لفهم طبيعة البيانات المرافقة للاتصال في واتساب، كمعرفة ما إذا كان المستخدم متصلاً عبر الهاتف أو الحاسوب؛ إلا أن الفريق لاحظ أن واجهة الويب لا تفرض قيوداً جدية على استعلامات اكتشاف جهات الاتصال. وبمحض الفضول، بدأوا مسح الأرقام الأمريكية، وفي غضون نصف ساعة فقط، اكتشفوا 30 مليون حساب.

تحول الفضول إلى مشروع إحصاء عالمي هائل، أجراه الباحثون وفق معايير أخلاقية، وأبلغوا به Meta ضمن برامج مكافآت الثغرات.

تحذير قديم تجاهلته Meta منذ 8 أعوام!

لم تكن هذه المرة الأولى التي ينبه فيها واتساب إلى إمكانية تعداد أرقام الهواتف على نطاق واسع.

ففي عام 2017، نشر الباحث الهولندي لوران كلاوزه دليلاً عملياً يثبت إمكانية استخدام واجهة واتساب للويب لكتابة سكربت قادر على المرور عبر أرقام هاتفية متسلسلة، وجمع الصور الشخصية والنصوص التعريفية وحتى مؤشرات الظهور والاختفاء.

وحذر كلاوزه وقتها من إمكانية دمج هذه البيانات مع تقنيات التعرف على الوجوه لبناء قاعدة هائلة لمستخدمي واتساب حول العالم. ورغم وضوح التحذير، ردت Meta (فيسبوك آنذاك) بأن إعدادات الخصوصية “تعمل كما هو مصمم لها”، ورفضت تصنيف الأمر كخلل يستحق مكافأة ضمن برنامج مكافآت الثغرات.

بعد مرور 8 أعوام، ظلت البنية الأساسية للمنظومة على حالها تقريباً، بينما أظهر البحث الجديد إلى أين يمكن أن يقود استغلال هذه الثغرة.

ماذا كان رد Meta على ذلك؟

تصر Meta على أن البيانات المكشوفة لم ترتبط بمحتوى الرسائل أو أي بيانات خاصة غير معروضة للجمهور. وفي تصريحاتها لفريق SBA Research، شكر نيتين غوبتا، نائب رئيس هندسة واتساب، الباحثين على إبلاغهم “بتقنية تعداد مبتكرة تجاوزت الحدود المتوقعة”، مؤكداً أن الشركة تستثمر منذ سنوات في “أنظمة رائدة مضادة لعمليات السحب والاستخلاص”.

وبحسب Meta، لم يصل الباحثون إلا إلى بيانات أساسية ومتاحة علناً، اختار المستخدمون عرضها للجميع؛ مشيرة إلى عدم وجود أدلة تؤكد أن جهات خبيثة استغلت المسار ذاته سابقاً.

وتؤكد الشركة أنها طبقت فعلياً إجراءات جديدة، تشمل:

• تشديد حد الاستعلامات في ميزة اكتشاف جهات الاتصال.
• وتقييد ظهور المعلومات الشخصية بصورة أكبر.

وجهة نظر الباحثين: استجابة بطيئة ومشكلة بنيوية

أما الباحثون، فكانت روايتهم مختلفة.

وفقاً لورقتهم البحثية وتغطيات إعلامية لاحقة، أبلغ الباحثون Meta بالثغرة عام 2024 عبر برنامج مكافآت الأخطاء. إلا أنها لم تطبق قيوداً فعالة على معدل الاستعلامات في واتساب إلا في أكتوبر 2025، أي بعد أن تمكن الفريق من تنفيذ عملية تعداد عالمية كاملة، في استجابة وصفها الباحثون بالبطيئة والمحدودة.

كما خالف الباحثون ادعاء Meta بوجود أنظمة قوية مضادة للسحب، مؤكدين أنهم لم يصطدموا بأي قيود فعلية خلال استعلامهم عن مئات الملايين من الأرقام كل ساعة من عنوان IP واحد فقط.

ويرى الفريق أن جذور المشكلة ليست في تطبيق واتساب وحده، بل في النموذج بأكمله:

• أرقام الهواتف ذات قابلية تخمين عالية، وتوزع ضمن نطاقات محددة.
• عندما تربط مليارات الحسابات مباشرة بهذه الأرقام، فإن أي جهة قادرة على إرسال عدد كافٍ من الاستعلامات يمكنها تعداد قاعدة المستخدمين بالكامل.
• وبالتالي، يصبح نظام الحد من الاستعلامات هو خط الدفاع الوحيد؛ وهو خط هش، سهل الاختراق.

ويختصر الباحث أليوشا يودماير المسألة بقوله: “أرقام الهواتف غير مصممة لتكون معرفات سرية للحسابات، لكننا نستخدمها كذلك عملياً”. وفي منصة يتجاوز عدد مستخدميها ثلث سكان العالم، يتحول ذلك إلى مخاطرة بنيوية واسعة التأثير.

حتى مع التشفير التام تبقى البيانات الوصفية مكشوفة

تأتي هذه الدراسة كجزء ثالث من سلسلة أبحاث أجراها الفريق ذاته، وهي تشمل:

• Careless Whisper الذي كشف كيف يمكن لإشعارات التسليم الصامتة أن تكشف أنماط نشاط المستخدم.
• Prekey Pogo الذي درس نقاط ضعف في آلية تبادل المفاتيح في واتساب.
• وتعداد واتساب الأخير الذي فحص بيانات الاكتشاف على مستوى عالمي.

وتشير الدراسات جميعها إلى نفس النتيجة: التشفير طرف–لطرف يحمي محتوى الرسائل، لكنه لا يحمي بقية معلومات المستخدم، كهوية المستخدم، وتوقيت اتصاله، وجهازه، وجهات اتصاله. وعند جمع هذه البيانات على نطاق واسع، يمكن أن تكشف أنماط حياة، وخرائط علاقات، وحتى مؤشرات دينية أو سياسية.

تأثيرات على المؤسسات، وأزمة ثقة تتسع

لا يتوقف الخطر عند حدود الأفراد؛ إذ يستخدم واتساب، وخاصة واتساب بزنس وواجهات API السحابية، على نطاق واسع في:

• خدمات الدعم الفني.
• المبيعات.
• عمليات التحقق والتواصل الداخلي.

وفي هذا السياق، تصبح الثغرة أكثر حساسية، نظراً لإمكانية ربط المهاجمين أرقام الشركات بخطوط خدمة معينة لتحديد الأرقام النشطة، وكيف تبدو ملفاتها الشخصية؛ ما يجعل هجمات الانتحال الاحتيالي أكثر دقة.

وتتزامن هذه الواقعة مع مرحلة صعبة يمر بها واتساب:

• ففي يونيو 2025، حظر مجلس النواب الأمريكي تثبيت واتساب على أجهزة الموظفين الرسمية.
• وفي وقت سابق من 2025، كشفت ثغرة خطيرة في نسخة ويندوز سمحت بتشغيل ملفات ضارة متخفية.

وعلى الرغم من عدم ارتباط هذه الثغرات ببعضها بعضاً، إلا أنها ترسم صورة متزايدة القلق حول ضغوط أمنية متصاعدة يتعرض لها التطبيق، وردود فعل Meta التي باتت تحت رقابة حازمة من الخبراء والهيئات التنظيمية.

ما الذي تغير؟ وما الذي لم يتغير؟

تقول Meta إنها تعاملت مع المسار الذي استغله الباحثون عبر فرض قيود أشد وتعديل إعدادات الخصوصية. ويؤكد الطرفان أن الهجوم لم يعد ممكناً على النطاق نفسه من عنوان IP واحد. لكن جوهر المشكلة ما يزال قائماً:

• رقم الهاتف ما يزال المعرف الأساسي لحساب واتساب.
• الكثير من المستخدمين يتركون صورتهم أو حالتهم مرئية للجميع.
• لا يمكن إعادة البيانات التي سحبت سابقاً، سواء لأغراض بحثية أو غيرها.

ومع ذلك، تلوح بوادر انفراج بنيوي، إذ تختبر Meta حالياً نظام أسماء مستخدمين (Usernames)، وبدأت نسخ تجريبية تتضمن خاصية حجز اسم فريد. وعند تبني هذا النظام بالكامل، قد تصبح مشاركة الاسم بديلاً عن مشاركة الرقم، ما يقلل إمكانية تعداد المستخدمين على مستوى العالم.

الدرس الأكبر: بين سهولة الاستخدام ومخاطر “الإحصاء الرقمي”

في نهاية المطاف، تكشف هذه القضية أن قرارات تصميم بسيطة، مثل تسهيل اكتشاف جهات الاتصال، يمكن أن تؤدي إلى تبعات أمنية ضخمة. لقد سمحت هذه الآلية لواتساب بالنمو السريع، لكنها فتحت الباب أمام تحويل التطبيق إلى سجل سكاني عالمي، يجمع الصور والحالات والبصمات التقنية لمليارات البشر.

هذه المرة، كان من نفذ العملية فريقاً أكاديمياً ملتزماً بالمعايير الأخلاقية؛ لكن السؤال الذي يلوح في خلفية الدراسة بسيط ومخيف: “إذا استطاع الباحثون فعل ذلك، فهل سبقتهم جهات أخرى؟”.