EN
تمكن باحثون من جمع قائمة تحتوي على 3.5 مليار رقم هاتف محمول مرتبط بحسابات واتساب ومعلومات شخصية أخرى، من خلال استغلال واجهة برمجة تطبيقات API، لا تحتوي على قيود على عدد الطلبات.
وأبلغ الفريق واتساب بالمشكلة، ومنذ ذلك الحين أضافت الشركة حماية للحد من معدل الطلبات لمنع أي إساءة استخدام مماثلة في المستقبل.
ويظهر هذا البحث، الذي لم يتم فيه نشر البيانات الفعلية، تكتيكا شائعا يستخدمه المهاجمون لسرقة معلومات المستخدمين من APIs غير المحمية والمتاحة للعامة.
استغلال API واتساب
استخدم الباحثون من جامعة فيينا وSBA Research ميزة اكتشاف جهات الاتصال في واتساب، والتي تتيح إرسال رقم هاتف إلى نقطة نهاية GetDeviceList API لمعرفة ما إذا كان الرقم مرتبطا بحساب، والأجهزة المستخدمة معه.
وبدون قيود صارمة على معدل الطلبات، يمكن استغلال هذه الواجهات لتنفيذ فحص واسع النطاق للأرقام عبر المنصة.
وأظهرت التجربة أن الباحثين تمكنوا من إرسال أكثر من 100 مليون طلب في الساعة من خادم واحد باستخدام خمس جلسات مصادقة فقط، دون أن يتم حظرهم أو تقييد حركة المرور أو الاتصال بأي إشعار من واتساب.
بعد ذلك، أنشأ الباحثون مجموعة عالمية تضم 63 مليار رقم محتمل واختبروا جميعها على API، لترجع النتائج 3.5 مليار حساب واتساب نشط.
لمحة عن انتشار واتساب عالميا
أظهر البحث أيضا توزيع استخدام واتساب حسب الدول:
- الهند: 749 مليون
- إندونيسيا: 235 مليون
- البرازيل: 206 مليون
- الولايات المتحدة: 138 مليون
- روسيا: 133 مليون
- المكسيك: 128 مليون
كما تم تحديد ملايين الحسابات النشطة في دول كانت واتساب محظورا فيها، مثل الصين وإيران وكوريا الشمالية وميانمار، وفي إيران، استمر الاستخدام في النمو بعد رفع الحظر في ديسمبر 2024.
جمع معلومات إضافية
بالإضافة إلى التحقق من وجود الرقم على واتساب، استخدم الباحثون نقاط نهاية أخرى مثل GetUserInfo وGetPrekeys وFetchPicture للحصول على معلومات إضافية عن المستخدمين، بما في ذلك:
- صور الملف الشخصي
- نصوص "حول" About
- معلومات عن أجهزة أخرى مرتبطة بالحساب
وفي اختبار لأرقام أمريكية، تم تحميل 77 مليون صورة ملف شخصي دون أي قيود على معدل الطلبات، مع ظهور العديد من الوجوه القابلة للتعرف عليها. كما كشفت نصوص "حول" العامة عن معلومات شخصية وروابط لحسابات اجتماعية أخرى.
أثر تسريبات الأرقام الكبيرة
عند مقارنة النتائج مع تسريبات أرقام الهواتف لفيسبوك عام 2021، تبين أن 58% من أرقام فيسبوك المسربة كانت لا تزال نشطة على واتساب في 2025، ويشرح الباحثون أن تسريبات أرقام الهواتف الكبيرة تشكل تهديدا طويل الأمد لأنها يمكن أن تستغل في أنشطة خبيثة لسنوات.
تحتوي البيانات على أرقام هواتف، وطوابع زمنية، ونصوص “حول”، وصور ملفات شخصية، ومفاتيح تشفير End-to-End، ونشرها سيكون له تأثيرات سلبية كبيرة على المستخدمين.
حالات مشابهة لإساءة استخدام APIs
عدم وجود قيود على معدل الطلبات في APIs هو مشكلة واسعة على المنصات الرقمية، حيث يمكن استغلال واجهات برمجة التطبيقات لمهام شرعية ولكن أيضًا لعمليات جمع بيانات واسعة النطاق:
في 2021، استغل مهاجمون ثغرة في ميزة "إضافة صديق" بفيسبوك، مما سمح لهم بإنشاء ملفات لـ533 مليون مستخدم تشمل أرقام هواتفهم ومعرّفاتهم وأسمائهم وجنسهم، ما أدى إلى غرامة 265 مليون يورو من قبل لجنة حماية البيانات الإيرلندية.
واجهت تويتر مشكلة مماثلة عندما استغلت ثغرة API لمطابقة أرقام هواتف وعناوين بريد إلكتروني مع 54 مليون حساب.
كما أعلنت شركة Dell عن سرقة 49 مليون سجل للعملاء بعد استغلال API غير محمي.
جميع هذه الحالات، بما فيها واتساب، نشأت بسبب APIs تقوم بالتحقق من الحسابات أو البيانات بدون قيود مناسبة، مما يجعلها هدفا سهلا للاستغلال على نطاق واسع.
