الخصوصية
في فبراير 2026، نشرت شركة الأمن الإلكتروني Oversecured تقريرًا يجعلك ترغب في إعادة ضبط هاتفك على إعدادات المصنع والانعزال في كوخ بعيد في الغابة. وفحص الباحثون 10 تطبيقات شهيرة للصحة النفسية على نظام Android – تتنوع بين تتبع الحالة المزاجية، والمعالجين بالذكاء الاصطناعي، وأدوات إدارة الاكتئاب والقلق – ليكتشفوا… 1575 ثغرة أمنية. وصُنفت 54 منها على أنها خطيرة للغاية. وبالنظر إلى إحصائيات التحميل على Google Play، قد يصل عدد المتضررين إلى 15 مليون شخص. لكن ما الصدمة الحقيقية؟ هي أن ستة من كل عشرة تطبيقات تم فحصها وعدت مستخدميها صراحةً بأن بياناتهم “مشفرة بالكامل ومحمية بأمان”.
نحلل بالتفصيل نزيف البيانات الفاضح هذا: ما الذي قد يتسرب بالضبط، وكيف يحدث ذلك، ولماذا تُعد “الخصوصية المجهولة” في هذه الخدمات مجرد أسطورة تسويقية في الغالب.
ما الذي تم العثور عليه في التطبيقات؟
Oversecured هي شركة متخصصة في أمان تطبيقات الهاتف المحمول، تستخدم أداة فحص متخصصة لتحليل ملفات APK بحثًا عن أنماط الثغرات المعروفة عبر عشرات الفئات. وفي يناير 2026، قام الباحثون بتشغيل عشرة تطبيقات لمراقبة الصحة النفسية من Google Play عبر أداة الفحص هذه – وكانت النتائج، إن جاز التعبير، “مذهلة بشكل كارثي”.
| نوع التطبيق | عدد عمليات التثبيت | الثغرات الأمنية | |||
| شديدة الخطورة | متوسطة الخطورة | منخفضة الخطورة | الإجمالي | ||
| تتبع الحالة المزاجية والعادات | أكثر من 10 ملايين | 1 | 147 | 189 | 337 |
| روبوتات المحادثة للعلاج بالذكاء الاصطناعي | أكثر من مليون | 23 | 63 | 169 | 255 |
| منصات الصحة العاطفية بالذكاء الاصطناعي | أكثر من مليون | 13 | 124 | 78 | 215 |
| تطبيقات تتبع الصحة والأعراض | أكثر من 500 ألف | 7 | 31 | 173 | 211 |
| أدوات التعامل مع الاكتئاب | أكثر من 100 ألف | 0 | 66 | 91 | 157 |
| تطبيقات علاج القلق القائم على العلاج المعرفي السلوكي | أكثر من 500 ألف | 3 | 45 | 62 | 110 |
| العلاج عبر الإنترنت ومجتمعات الدعم | أكثر من مليون | 7 | 20 | 71 | 98 |
| المساعدة الذاتية للقلق والرهاب | أكثر من 50 ألف | 0 | 15 | 54 | 69 |
| إدارة الضغوط النفسية للعسكريين | أكثر من 50 ألف | 0 | 12 | 50 | 62 |
| روبوتات محادثة العلاج المعرفي السلوكي | أكثر من 500 ألف | 0 | 15 | 46 | 61 |
| الإجمالي | أكثر من 14.7 مليون | 54 | 538 | 983 | 1575 |
الثغرات الأمنية المكتشفة في تطبيقات الصحة النفسية العشرة التي خضعت للفحص. المصدر
تشريح الثغرات
تتنوع الثغرات المنية المكتشفة، لكنها جميعًا تتلخص في أمر واحد: منح المهاجمين الوصول إلى بيانات كان ينبغي أن تظل قيد الكتمان وبأعلى درجات الحماية.
في البداية، تتيح إحدى هذه الثغرات الأمنية للمهاجم الوصول إلى أي نشاط داخلي للتطبيق – حتى تلك الأنشطة التي لم تكن مخصصة للعرض الخارجي أبدًا. وهذا يفتح الباب لقرصنة رموز المصادقة وبيانات جلسات المستخدمين. وبمجرد حصول المهاجم عليها، فإنه يصبح قادرًا بشكل أساسي على الوصول إلى سجلات العلاج النفسي الخاصة بالمستخدم.
ثمة مشكلة أخرى تتمثل في عدم أمان تخزين البيانات محليًا، مع منح أذونات القراءة لأي تطبيق آخر على الجهاز. بعبارة أخرى، يمكن لتطبيق المصباح اليدوي العشوائي أو الآلة الحاسبة على هاتفك الذكي قراءة سجلات العلاج المعرفي السلوكي (CBT)، وملاحظاتك الشخصية، وتقييمات حالتك المزاجية.
وجد الباحثون أيضًا بيانات تكوين غير مشفرة مُدمجة مباشرة داخل ملفات التثبيت بتنسيق APK. وشمل ذلك نقاط نهاية واجهة برمجة التطبيقات (API) للخادم الخلفي، وعناوين URL مكتوبة برمجيًا لقواعد بيانات Firebase.
علاوة على ذلك، تم اكتشاف العديد من التطبيقات التي تستخدم فئة java.util.Random ضعيفة التشفير لإنشاء الرموز المميزة للجلسة ومفاتيح التشفير.
أخيرًا، افتقرت معظم التطبيقات التي خضعت للفحص إلى خاصية اكتشاف التجذير / كسر الحماية. وفي الأجهزة التي تم كسر حمايتها، يمكن لأي تطبيق تابع لجهة خارجية يتمتع بصلاحيات الجذر الوصول الكامل إلى كل جزء من البيانات الطبية المخزنة محليًا.
من المثير للصدمة أنه من بين التطبيقات العشرة التي تم تحليلها، حصلت أربعة تطبيقات فقط على تحديثات في فبراير 2026. ولم تشهد البقية أي تصحيح أمني منذ نوفمبر 2025، بل إن أحدها لم يتم إجراء أي شيء عليه منذ سبتمبر 2024. ويعد مرور 18 شهرًا دون تصحيح أمني دهرًا في هذه الصناعة – خاصة بالنسبة لتطبيق يضم يوميات المزاج وسجلات العلاج وجداول الأدوية.
إليك تذكير سريع بمدى خطورة إساءة استخدام هذا النوع من البيانات. في عام 2024، اهتز العالم التقني بسبب هجوم متطور على XZ Utils، وهو مكون مهم موجود في كل نظام تشغيل يعتمد على نواة Linux تقريبًا. ونجح المهاجم في الضغط على مطور المشروع لتسليمه صلاحيات تعديل التعليمات البرمجية، وذلك عبر استغلال اعتراف المطور علنًا بإصابته بالاحتراق النفسي وفقدانه الشغف للاستمرار في المشروع. ولو كان هذا الهجوم قد اكتمل، لكان حجم الضرر لا يتصوره عقل، نظرًا لأن نحو 80% من خوادم العالم تعمل بنظام Linux.
ما الذي يمكن أن يتسرب؟
ما الذي تجمعه هذه التطبيقات وتخزنه؟ إنها نوعية المعلومات التي قد لا تشاركها إلا مع طبيب مختص تثق به: نصوص جلسات العلاج، وسجلات الحالة المزاجية، وجداول الأدوية، ومؤشرات إيذاء النفس، وملاحظات العلاج المعرفي السلوكي (CBT)، ومقاييس تقييم سريرية متنوعة.
منذ عام 2021، كانت السجلات الطبية الكاملة تُباع في شبكة الويب المظلمة مقابل 1000 دولار لكل سجل. وللمقارنة، فإن رقم البطاقة الائتمانية المسروقة يُباع بمبلغ يتراوح بين 5 إلى 30 دولارًا فقط. وتحتوي السجلات الطبية على حزمة هوية كاملة: الاسم والعنوان وتفاصيل التأمين وتاريخ التشخيص. وبخلاف بطاقة الائتمان، لا يمكنك “إعادة إصدار” تاريخك الطبي. علاوة على ذلك، من المعروف بصعوبة اكتشاف الاحتيال الطبي. وبينما قد يكتشف البنك معاملة مشبوهة في غضون ساعات، فإن مطالبة التأمين الاحتيالية لعلاج وهمي قد تمر دون أن يلاحظها أحد لسنوات.
شاهدنا هذا الفيلم من قبل
دراسة The Oversecured ليست مجرد قصة رعب منعزلة.
بالعودة إلى عام 2020، اخترق جوليوس كيفيماكي قاعدة بيانات عيادة العلاج النفسي الفنلندية فاستامو، واستولى على سجلات 33,000 مريض. وعندما رفضت العيادة دفع فدية قدرها 400,000 يورو، بدأ كيفيماكي في إرسال تهديدات مباشرة للمرضى: “ادفع 200 يورو بالبيتكوين خلال 24 ساعة، وإلا ستُنشر سجلاتك علنًا”. وفي النهاية، قام بتسريب قاعدة البيانات بأكملها على شبكة الويب المظلمة على أي حال. وأدت هذه الحادثة إلى انتحار شخصين على الأقل، وأُجبرت العيادة على إعلان إفلاسها. وحُكم على كيفيماكي لاحقًا بالسجن لمدة ست سنوات وثلاثة أشهر، في محاكمة سجلت رقمًا قياسيًا في فنلندا نظرًا للعدد الهائل من الضحايا.
في عام 2023، فرضت لجنة التجارة الفيدرالية الأمريكية (FTC) غرامة قدرها 7.8 مليون دولار على شركة BetterHelp العملاقة للعلاج عبر الإنترنت. ورغم ادعاء الشركة في صفحة التسجيل أن بياناتك سرية للغاية، إلا أنه تم ضبطها وهي تُسرب معلومات المستخدمين – بما في ذلك الردود على استبيانات الصحة النفسية، ورسائل البريد الإلكتروني، وعناوين IP – إلى Facebook وSnapchat وCriteo وPinterest لأغراض الإعلانات الموجهة. وبعد هدوء العاصفة، حصل 800,000 مستخدم متضرر على تعويض مذهل قدره… 10 دولارات فقط لكل منهم.
بحلول عام 2024، وضعت لجنة التجارة الفيدرالية شركة الخدمات الصحية عن بُعد Cerebral في مرمى نيرانها، وفرضت عليها غرامة قدرها 7 ملايين دولار. ومن خلال بكسلات التتبع، سربت Cerebral بيانات 3.2 مليون مستخدم إلى LinkedIn وSnapchat وTikTok. وشملت هذه الغنائم الأسماء والتاريخ الطبي والوصفات الطبية ومواعيد الزيارات ومعلومات التأمين. أما الطامة الكبرى؟ فقد أرسلت الشركة بطاقات بريدية ترويجية (بدون مظاريف) إلى 6,000 مريض، مما أعلن فعليًا للجميع أن المتلقين يخضعون لعلاج نفسي.
في سبتمبر 2024، عثر الباحث الأمني جيريميا فاولر على قاعدة بيانات مكشوفة تخص شركة Confidant Health، وهي شركة متخصصة في خدمات التعافي من الإدمان والصحة النفسية. واحتوت قاعدة البيانات على تسجيلات صوتية ومرئية لجلسات العلاج، ومحاضر مكتوبة، وملاحظات طب نفسي، ونتائج فحوصات المخدرات، وحتى نسخًا من رخص القيادة. وإجمالاً، كانت هناك 5.3 تيرابايت من البيانات، أو 126,000 ملف، أو 1.7 مليون سجل، متاحة للجميع بدون كلمة مرور.
لماذا تُعد السرية مجرد وهم؟
يحب المطورون ترديد عبارة: “نحن لا نشارك بياناتك الشخصية مع أي جهة أبدًا”. ومن الناحية التقنية، قد يكون هذا صحيحًا؛ فهم يشاركون بدلاً من ذلك “ملفات تعريف مجهولة المصدر”. لكن ما الحيلة هنا؟ لم تعد إعادة اكتشاف هوية تلك البيانات أمرًا بالغ الصعوبة. وتسلط الأبحاث الحديثة الضوء على أن استخدام النماذج اللغوية الكبيرة (LLMs) لتجريد الهويات من مجهوليتها قد أصبح واقعًا روتينيًا.
حتى عملية “إخفاء الهوية” نفسها غالبًا ما تكون فوضوية. وكشفت دراسة أجرتها جامعة ديوك أن سماسرة البيانات يبيعون بيانات الصحة النفسية للأمريكيين بشكل علني. ومن بين 37 وسيطًا شملهم الاستطلاع، وافق 11 منهم على بيع بيانات مرتبطة بتشخيصات محددة (مثل الاكتئاب والقلق والاضطراب ثنائي القطب)، ومعايير ديموغرافية، وفي بعض الحالات، حتى الأسماء وعناوين المنازل. وبدأت الأسعار من مبلغ زهيد يصل إلى 275 دولارًا مقابل 5000 سجل مجمع.
وفقًا لمؤسسة Mozilla، بحلول عام 2023، فشلت 59% من تطبيقات الصحة النفسية الشهيرة في تلبية حتى أبسط معايير الخصوصية، بل إن 40% منها أصبحت أقل أمانًا مما كانت عليه في العام السابق. وسمحت هذه التطبيقات بإنشاء حساب عبر خدمات جهات خارجية (مثل Google وApple وFacebook)، وتضمنت سياسات خصوصية قصيرة ومشبوهة تغاضت عن تفاصيل جمع البيانات، كما استخدمت ثغرة ذكية: بعض سياسات الخصوصية كانت تنطبق بدقة على موقع الشركة الإلكتروني فقط، وليس على التطبيق نفسه. باختصار، كانت نقراتك على الموقع محمية، لكن أفعالك داخل التطبيق كانت مستباحة.
كيفية حماية نفسك
يعد حذف هذه التطبيقات من حياتك تمامًا هو بالطبع الخيار الأكثر ضمانًا، لكنه ليس الخيار الأكثر واقعية. علاوة على ذلك، لا يوجد ضمان بأنك تستطيع حقًا محو البيانات التي تم جمعها بالفعل، حتى لو حذفت حسابك. وقد غطينا سابقًا العملية المرهقة لتنقية معلوماتك من قواعد بيانات وسيط البيانات؛ وهو أمر ممكن، لكن استعد لصداع حقيقي. إذًا، كيف يمكنك البقاء آمنًا؟
- تحقق من الأذونات قبل النقر على “تثبيت”. في Google Play، انتقل إلى وصف التطبيق ← عن هذا التطبيق ← الأذونات. وليس من شأن تطبيق تتبع الحالة المزاجية أن يطلب الوصول إلى الكاميرا أو الميكروفون أو جهات الاتصال أو موقعك الدقيق عن طريق GPS. وإذا فعل ذلك، فهو لا يهتم بصحتك، بل يجمع بياناتك.
- اقرأ سياسة الخصوصية فعليًا. نحن نتفهم الأمر – لا أحد يقرأ هذه البيانات الطويلة المملة. لكن عندما تقوم خدمة ما بامتصاص أعمق أفكارك الشخصية، فإنها تستحق منك نظرة سريعة. ابحث عن علامات الخطر: هل تشارك الشركة البيانات مع أطراف ثالثة؟ هل يمكنك حذف سجلاتك يدويًا؟ وهل تغطي السياسة التطبيق نفسه صراحةً أم موقع الويب فقط؟ ويمكنك دائمًا تزويد أحد نماذج الذكاء الاصطناعي بنص السياسة وتطلب منه تحديد أي نقاط قد تنتهك خصوصيتك.
- تحقق من تاريخ آخر تحديث. ويُرجح أن يكون التطبيق الذي لم يتلقَّ تحديثًا منذ أكثر من ستة أشهر ملعبًا للثغرات الأمنية التي لم يتم إصلاحها. وتذكر: ستة من كل عشرة تطبيقات فحصتها Oversecured لم يتم تحديثها منذ شهور.
- قم بتعطيل كل شيء غير ضروري في إعدادات الخصوصية بهاتفك. وكلما طُلب منك ذلك، اختر دائمًا “عدم التتبع” (Ask App Not to Track). وعندما يتوسل إليك أحد التطبيقات لتمكين نوع معين من التتبع – مدعيًا أنه من أجل “التحسين الداخلي” – فغالبًا ما يكون ذلك مجرد خدعة تسويقية وليس ضرورة تشغيلية. وتذكر دائمًا أنه إذا تعذر تشغيل التطبيق فعليًا بدون إذن معين، فيمكنك دائمًا العودة وتفعيله لاحقًا.
- لا تستخدم خدمات “تسجيل الدخول باستخدام…”. وتؤدي المصادقة عبر Facebook أو Apple أو Google أو Microsoft إلى إنشاء معرفات إضافية وتمنح الشركات فرصة ذهبية لربط بياناتك عبر المنصات المختلفة.
- تعامل مع كل ما تكتبه وكأنه منشور علني على وسائل التواصل الاجتماعي. وإذا كنت لا ترغب في أن يقرأ شخص غريب على الإنترنت ما كتبته، فمن الأفضل ألا تدونه في تطبيق يحتوي على أكثر من 150 ثغرة أمنية ولم يتلقَّ أي تحديث منذ العام قبل الماضي.
ما الذي يجب أن تعرفه أيضًا عن إعدادات الخصوصية والتحكم في بياناتك الشخصية عبر الإنترنت:
- وسطاء بيانات تحديد المواقع الجغرافية: ماذا يفعلون وماذا يحدث عند تسريب بياناتهم
- لماذا يبني سماسرة البيانات ملفات شخصية عنك، وكيف تمنعهم من فعل ذلك
- كيف تختفي من الإنترنت
- كيفية تقليص بصمتك الرقمية
- كيف تبني الهواتف الذكية ملفًا عنك
النصائح