افشای شماره واتساپ 3.5 میلیارد کاربر! یک سهل‌انگاری امنیتی بزرگ و خطرناک

واتساپ (WhatsApp)، با بیش از 3.5 میلیارد کاربر فعال، یکی از بزرگترین پلتفرم‌های پیام‌رسان در جهان است. بخشی از موفقیت و رشد انفجاری این اپلیکیشن، مدیون سادگی استفاده از آن بود؛ برای پیدا کردن هر شخصی، تنها به شماره تلفن او نیاز داشتید. اما متأسفانه، همین ویژگی ساده، یک نقص امنیتی عظیم و یک تهدید جدی برای حریم خصوصی کاربران ایجاد کرده بود. گزارش جدیدی که توسط محققان اتریشی منتشر شده، نشان می‌دهد که چگونه یک آسیب‌پذیری ساده منجر به افشای شماره واتساپ تمام کاربران این پلتفرم شده و این اطلاعات را در دسترس هر کسی، از جمله گروه‌های هکری و مخرب، قرار داده بود.

این مشکل نه یک هک پیچیده، بلکه نتیجه یک ضعف طراحی در سیستم واتساپ بود که به مدت چندین سال نادیده گرفته شده بود. این مقاله به بررسی عمیق این آسیب‌پذیری، روشی که محققان برای بهره‌برداری از آن استفاده کردند، واکنش شرکت متا (Meta) و پیامدهای بالقوه این افشای شماره واتساپ برای کاربران سراسر جهان می‌پردازد. با ما در دیجی رو همراه باشید.

یک نقص ساده با ابعادی نجومی

شاید تصور کنید که برای دسترسی به اطلاعات 3.5 میلیارد نفر، به تکنیک‌های هک فوق‌پیشرفته و یا روش‌های جادویی نیاز است! اما حقیقت بسیار ساده‌تر و نگران کننده‌تر است. محققان اتریشی برای استخراج این حجم عظیم از اطلاعات، هیچ کار خارق‌العاده‌ای انجام ندادند. آن‌ها دقیقاً همان کاری را کردند که هر کاربر عادی برای اضافه کردن یک مخاطب جدید انجام می‌دهد.

روند کار به این شکل بود: شما یک شماره تلفن را در واتساپ وارد می‌کنید. سپس، اپلیکیشن به شما اطلاع می‌دهد که آیا صاحب آن شماره، حساب کاربری واتساپ دارد یا خیر. در صورت مثبت بودن پاسخ، عکس پروفایل و متن بیوگرافی (About) او را نیز (در صورتی که عمومی تنظیم شده باشد) به شما نمایش می‌دهد. محققان دقیقاً از همین مکانیزم استفاده کردند، اما نه برای یک یا دو شماره، بلکه در مقیاسی میلیاردی. آن‌ها با استفاده از واتساپ وب (WhatsApp Web)، یعنی نسخه تحت مرورگر این پیام‌رسان، و با خودکارسازی این فرآیند، توانستند در اوایل سال جاری میلادی، در هر ساعت حدود 100 میلیون شماره تلفن را بررسی کنند. این فرآیند به آن‌ها اجازه داد تا به طور سیستماتیک، شماره تلفن تمام 3.5 میلیارد کاربر واتساپ را استخراج کنند!

نتایج این تحقیق تکان دهنده بود: علاوه بر تأیید وجود حساب واتساپ برای این شماره‌ها، محققان توانستند به عکس پروفایل حدود 57 درصد از این کاربران و متن بیوگرافی 29 درصد از آن‌ها نیز دسترسی پیدا کنند. این به معنای یک افشای شماره واتساپ در مقیاسی بی‌سابقه است.

سال‌ها بی‌توجهی به یک هشدار امنیتی

نگران کننده‌تر از خود آسیب‌پذیری، بی‌توجهی طولانی مدت شرکت متا، کمپانی مادر واتساپ، به این موضوع است. این مشکل اولین بار در سال 2017 توسط یک محقق امنیتی دیگر به این شرکت گزارش شده بود. با این حال، متا برای سال‌ها هیچ اقدام مؤثری برای رفع آن انجام نداد. این سهل‌انگاری به این معناست که در تمام این سال‌ها، هر فرد یا گروهی با دانش فنی اندک می‌توانست با همین روش، پایگاه داده‌ای عظیم از شماره تلفن‌های کاربران واتساپ تهیه کند و از آن برای اهداف مخرب مانند کلاهبرداری، فیشینگ، ارسال هرزنامه‌ها یا حتی شناسایی اهداف برای حملات سایبری پیچیده‌تر استفاده نماید.

خوشبختانه، پس از آنکه محققان اتریشی در ماه آوریل، یافته‌های خود را به طور مستقیم به اطلاع شرکت رساندند، متا سرانجام دست به کار شد. تا ماه اکتبر، این شرکت مکانیزمی به نام «محدودیت نرخ» (Rate-Limiting) را پیاده‌سازی کرد. این سیستم از بررسی انبوه و سریع شماره‌ها جلوگیری می‌کند و مانع از تکرار چنین بهره‌برداری گسترده‌ای در آینده می‌شود. اما این راه‌حل، نوش‌دارویی پس از مرگ سهراب بود؛ چرا که آسیب اصلی در طول سال‌ها بی‌تفاوتی، قبلاً وارد شده بود.

پاسخ متا: اطلاعات عمومی بودند!

در واکنش به این گزارش، شرکت متا تلاش کرد تا اهمیت این موضوع را کم‌رنگ جلوه دهد. این شرکت تأکید کرد که تمام داده‌های به دست آمده، “اطلاعات اولیه‌ای هستند که به صورت عمومی در دسترس قرار دارند”. متا همچنین اشاره کرد که عکس‌های پروفایل و متن‌های بیوگرافی کاربرانی که تنظیمات حریم خصوصی خود را روی حالت خصوصی (Private) قرار داده بودند، فاش نشده است. این شرکت به کاربران اطمینان داد که “هیچ مدرکی دال بر سوءاستفاده افراد تبهکار از این روش پیدا نکرده” و “هیچ داده غیرعمومی در دسترس محققان قرار نگرفته است”.

اگرچه این بیانیه از نظر فنی ممکن است درست باشد، اما از اصل مشکل طفره می‌رود. تأیید اینکه یک شماره تلفن خاص به یک حساب واتساپ فعال تعلق دارد، به خودی خود یک اطلاعات ارزشمند است. این موضوع می‌تواند توسط کلاهبرداران برای هدف قرار دادن کاربران واقعی و افزایش اعتبار حملات خود استفاده شود. در واقع، مشکل اصلی، همین افشای شماره واتساپ و تأیید وجود آن در این پلتفرم است.

جمع‌بندی: یک درس مهم برای دنیای فناوری

ماجرای افشای شماره واتساپ یک یادآوری تلخ از این واقعیت است که گاهی بزرگترین خطرات امنیتی، نه در پیچیده‌ترین حفره‌ها، بلکه در ساده‌ترین ویژگی‌های طراحی یک محصول نهفته‌اند. این اتفاق نشان داد که چگونه یک سهل‌انگاری ساده می‌تواند حریم خصوصی میلیاردها نفر را به خطر بیندازد. اگرچه متا سرانجام این مشکل را برطرف کرده است، اما این سوال باقی می‌ماند که در طول سال‌هایی که این نقص وجود داشت، چه کسانی و با چه اهدافی از آن سوءاستفاده کرده‌اند؛ سوالی که شاید هرگز پاسخی برای آن پیدا نشود. برای کاربران، این رویداد یک هشدار جدی است تا همواره تنظیمات حریم خصوصی حساب‌های کاربری خود را بازبینی کرده و اطلاعات شخصی خود را تا حد امکان محدود کرده و از دید دیگران مخفی کنند.