قام الباحثون بتجميع قائمة تضم 3.5 مليار رقم هاتف محمول على تطبيق واتساب WhatsApp والمعلومات الشخصية المرتبطة به عن طريق إساءة استخدام واجهة برمجة تطبيقات اكتشاف جهات الاتصال التي تفتقر إلى الحد الأقصى للمعدل.
وأبلغ الفريق شركة واتساب بالمشكلة، ومنذ ذلك الحين أضافت الشركة حماية تحد من معدل الاستخدام لمنع حدوث انتهاكات مماثلة.
على الرغم من أن هذه الدراسة أجراها باحثون لم ينشروا البيانات، إلا أنها توضح تكتيكًا شائعًا يستخدمه الجناة لسرقة معلومات المستخدم من واجهات برمجة التطبيقات غير المحمية والمكشوفة للجمهور.
استخدم الباحثون من جامعة فيينا وSBA Research ميزة اكتشاف جهات الاتصال في WhatsApp، والتي تتيح لك إرسال رقم هاتف إلى GetDeviceListنقطة نهاية واجهة برمجة التطبيقات الخاصة بالمنصة لتحديد ما إذا كان رقم الهاتف مرتبطًا بحساب وما هي الأجهزة التي تم استخدامها.
بدون تحديد معدل صارم، يمكن إساءة استخدام واجهات برمجة التطبيقات مثل هذه لإجراء حصر واسع النطاق عبر منصة ما.
ووجد الباحثون أن هذا هو الحال مع واتساب، حيث تمكنوا من إرسال عدد كبير من الاستعلامات مباشرة إلى خوادم واتساب، والتحقق من أكثر من 100 مليون رقم في الساعة.
أداروا العملية بأكملها من خادم جامعي واحد باستخدام خمس جلسات مُصادق عليها فقط، متوقعين في البداية أن يكتشفهم واتساب. مع ذلك، لم تحظر المنصة الحسابات، ولم تُخفّض حركة مرورها، ولم تُقيّد عناوين IP الخاصة بها، ولم تتواصل معهم رغم كل النشاط المُسيء القادم من جهاز واحد.
قام الباحثون بعد ذلك بتوليد مجموعة عالمية تضم 63 مليار رقم جوال محتمل، واختبروها جميعًا باستخدام واجهة برمجة التطبيقات (API). وأظهر استعلاماتهم 3.5 مليار حساب واتساب نشط.
كما أعطت النتائج أيضًا صورة غير معروفة سابقًا عن كيفية استخدام WhatsApp عالميًا، حيث توضح المكان الذي يتم فيه استخدام المنصة بشكل أكبر:
كما تم رصد ملايين الحسابات النشطة داخل الدول التي حُظر فيها واتساب آنذاك، بما في ذلك الصين وإيران وكوريا الشمالية وميانمار. وفي إيران، استمر الاستخدام في النمو مع رفع الحظر في ديسمبر 2024.
بالإضافة إلى التأكد من استخدام رقم هاتف على WhatsApp، استخدم الباحثون نقاط نهاية API أخرى لتعداد معلومات إضافية حول المستخدمين، بما في ذلك GetUserInfo، GetPrekeys، و FetchPicture.
وباستخدام واجهات برمجة التطبيقات الإضافية هذه، تمكن الباحثون من جمع صور الملف الشخصي، ونص "حول"، ومعلومات حول الأجهزة الأخرى المرتبطة برقم هاتف WhatsApp.
أجرى اختبارٌ على أرقامٍ أمريكية تنزيلًا لـ 77 مليون صورةٍ شخصية دون أي قيودٍ على السرعة، وقد أظهر العديد منها وجوهًا واضحة. وإذا كان نص "حول" متاحًا للعامة، فقد كشف أيضًا عن تفاصيل شخصية وروابط لحساباتٍ اجتماعية أخرى.
أخيرًا، عندما قارن الباحثون نتائجهم ببيانات أرقام هواتف فيسبوك المسربة عام 2021 ، وجدوا أن 58% من أرقام فيسبوك المسربة كانت لا تزال نشطة على واتساب في عام 2025. ويوضح الباحثون أن تسريبات أرقام الهواتف على نطاق واسع ضارة للغاية لأنها يمكن أن تظل مفيدة في سلوكيات خبيثة أخرى لسنوات.
باستخدام 3.5 مليار سجل (أي حسابات نشطة)، نقوم بتحليل مجموعة بيانات كانت، على حد علمنا، تُصنّف كأكبر تسريب بيانات في التاريخ، لو لم تُجمع كجزء من دراسة بحثية أُجريت بمسؤولية، كما توضح ورقة بحثية بعنوان " مرحبًا! أنت تستخدم واتساب: إحصاء ثلاثة مليارات حساب لأغراض الأمان والخصوصية ".
"تحتوي مجموعة البيانات على أرقام هواتف، وطوابع زمنية، ونصوص تقريبية، وصور شخصية، ومفاتيح عامة لتشفير E2EE، ومن شأن نشرها أن يؤدي إلى عواقب وخيمة على المستخدمين المشمولين بها."
إن عدم قيام WhatsApp بتحديد معدل الحد الأقصى لواجهات برمجة التطبيقات الخاصة به يوضح مشكلة واسعة النطاق على المنصات عبر الإنترنت، حيث تم تصميم واجهات برمجة التطبيقات لتسهيل مشاركة المعلومات وأداء المهام، ولكنها أصبحت أيضًا ناقلات للكشط على نطاق واسع.
في عام ٢٠٢١، استغلّ مُخرِجون ثغرةً في ميزة "إضافة صديق" على فيسبوك، سمحت لهم بتحميل قوائم جهات الاتصال من هاتف والتحقق من وجودها على المنصة. مع ذلك، لم تُحدِّد واجهة برمجة التطبيقات هذه سرعة الطلبات بشكلٍ صحيح، مما سمح لمُخرِجين بإنشاء ملفات تعريف لـ ٥٣٣ مليون مستخدم، تضمنت أرقام هواتفهم، ومعرفات فيسبوك، وأسمائهم، وجنسهم.
وأكدت شركة Meta لاحقًا أن البيانات جاءت من الكشط الآلي لواجهة برمجة التطبيقات التي تفتقر إلى الضمانات المناسبة، حيث فرضت لجنة حماية البيانات الأيرلندية (DPC) غرامة قدرها 265 مليون يورو على شركة Meta بسبب التسريب .
واجهت شركة تويتر مشكلة مماثلة عندما استغل المهاجمون ثغرة في واجهة برمجة التطبيقات لمطابقة أرقام الهواتف وعناوين البريد الإلكتروني لـ 54 مليون حساب.
كشفت شركة Dell عن سرقة 49 مليون سجل للعملاء بعد أن أساء المهاجمون استخدام نقطة نهاية واجهة برمجة التطبيقات غير المحمية .
كل هذه الحوادث، بما في ذلك حوادث WhatsApp، ناجمة عن واجهات برمجة التطبيقات التي تقوم بعمليات بحث عن الحسابات أو البيانات دون حدود معدل كافية، مما يجعلها أهدافًا سهلة للحصر على نطاق واسع.
استخدم الباحثون من جامعة فيينا وSBA Research ميزة اكتشاف جهات الاتصال في WhatsApp، والتي تتيح لك إرسال رقم هاتف إلى GetDeviceListنقطة نهاية واجهة برمجة التطبيقات الخاصة بالمنصة لتحديد ما إذا كان رقم الهاتف مرتبطًا بحساب وما هي الأجهزة التي تم استخدامها.
بدون تحديد معدل صارم، يمكن إساءة استخدام واجهات برمجة التطبيقات مثل هذه لإجراء حصر واسع النطاق عبر منصة ما.
ووجد الباحثون أن هذا هو الحال مع واتساب، حيث تمكنوا من إرسال عدد كبير من الاستعلامات مباشرة إلى خوادم واتساب، والتحقق من أكثر من 100 مليون رقم في الساعة.
أداروا العملية بأكملها من خادم جامعي واحد باستخدام خمس جلسات مُصادق عليها فقط، متوقعين في البداية أن يكتشفهم واتساب. مع ذلك، لم تحظر المنصة الحسابات، ولم تُخفّض حركة مرورها، ولم تُقيّد عناوين IP الخاصة بها، ولم تتواصل معهم رغم كل النشاط المُسيء القادم من جهاز واحد.
قام الباحثون بعد ذلك بتوليد مجموعة عالمية تضم 63 مليار رقم جوال محتمل، واختبروها جميعًا باستخدام واجهة برمجة التطبيقات (API). وأظهر استعلاماتهم 3.5 مليار حساب واتساب نشط.
كما أعطت النتائج أيضًا صورة غير معروفة سابقًا عن كيفية استخدام WhatsApp عالميًا، حيث توضح المكان الذي يتم فيه استخدام المنصة بشكل أكبر:
كما تم رصد ملايين الحسابات النشطة داخل الدول التي حُظر فيها واتساب آنذاك، بما في ذلك الصين وإيران وكوريا الشمالية وميانمار. وفي إيران، استمر الاستخدام في النمو مع رفع الحظر في ديسمبر 2024.
بالإضافة إلى التأكد من استخدام رقم هاتف على WhatsApp، استخدم الباحثون نقاط نهاية API أخرى لتعداد معلومات إضافية حول المستخدمين، بما في ذلك GetUserInfo، GetPrekeys، و FetchPicture.
وباستخدام واجهات برمجة التطبيقات الإضافية هذه، تمكن الباحثون من جمع صور الملف الشخصي، ونص "حول"، ومعلومات حول الأجهزة الأخرى المرتبطة برقم هاتف WhatsApp.
أجرى اختبارٌ على أرقامٍ أمريكية تنزيلًا لـ 77 مليون صورةٍ شخصية دون أي قيودٍ على السرعة، وقد أظهر العديد منها وجوهًا واضحة. وإذا كان نص "حول" متاحًا للعامة، فقد كشف أيضًا عن تفاصيل شخصية وروابط لحساباتٍ اجتماعية أخرى.
أخيرًا، عندما قارن الباحثون نتائجهم ببيانات أرقام هواتف فيسبوك المسربة عام 2021 ، وجدوا أن 58% من أرقام فيسبوك المسربة كانت لا تزال نشطة على واتساب في عام 2025. ويوضح الباحثون أن تسريبات أرقام الهواتف على نطاق واسع ضارة للغاية لأنها يمكن أن تظل مفيدة في سلوكيات خبيثة أخرى لسنوات.
باستخدام 3.5 مليار سجل (أي حسابات نشطة)، نقوم بتحليل مجموعة بيانات كانت، على حد علمنا، تُصنّف كأكبر تسريب بيانات في التاريخ، لو لم تُجمع كجزء من دراسة بحثية أُجريت بمسؤولية، كما توضح ورقة بحثية بعنوان " مرحبًا! أنت تستخدم واتساب: إحصاء ثلاثة مليارات حساب لأغراض الأمان والخصوصية ".
"تحتوي مجموعة البيانات على أرقام هواتف، وطوابع زمنية، ونصوص تقريبية، وصور شخصية، ومفاتيح عامة لتشفير E2EE، ومن شأن نشرها أن يؤدي إلى عواقب وخيمة على المستخدمين المشمولين بها."
إن عدم قيام WhatsApp بتحديد معدل الحد الأقصى لواجهات برمجة التطبيقات الخاصة به يوضح مشكلة واسعة النطاق على المنصات عبر الإنترنت، حيث تم تصميم واجهات برمجة التطبيقات لتسهيل مشاركة المعلومات وأداء المهام، ولكنها أصبحت أيضًا ناقلات للكشط على نطاق واسع.
في عام ٢٠٢١، استغلّ مُخرِجون ثغرةً في ميزة "إضافة صديق" على فيسبوك، سمحت لهم بتحميل قوائم جهات الاتصال من هاتف والتحقق من وجودها على المنصة. مع ذلك، لم تُحدِّد واجهة برمجة التطبيقات هذه سرعة الطلبات بشكلٍ صحيح، مما سمح لمُخرِجين بإنشاء ملفات تعريف لـ ٥٣٣ مليون مستخدم، تضمنت أرقام هواتفهم، ومعرفات فيسبوك، وأسمائهم، وجنسهم.
وأكدت شركة Meta لاحقًا أن البيانات جاءت من الكشط الآلي لواجهة برمجة التطبيقات التي تفتقر إلى الضمانات المناسبة، حيث فرضت لجنة حماية البيانات الأيرلندية (DPC) غرامة قدرها 265 مليون يورو على شركة Meta بسبب التسريب .
واجهت شركة تويتر مشكلة مماثلة عندما استغل المهاجمون ثغرة في واجهة برمجة التطبيقات لمطابقة أرقام الهواتف وعناوين البريد الإلكتروني لـ 54 مليون حساب.
كشفت شركة Dell عن سرقة 49 مليون سجل للعملاء بعد أن أساء المهاجمون استخدام نقطة نهاية واجهة برمجة التطبيقات غير المحمية .
كل هذه الحوادث، بما في ذلك حوادث WhatsApp، ناجمة عن واجهات برمجة التطبيقات التي تقوم بعمليات بحث عن الحسابات أو البيانات دون حدود معدل كافية، مما يجعلها أهدافًا سهلة للحصر على نطاق واسع.
المصدر: Bleeping Coumputer