Экс-глава безопасности WhatsApp обвинил Meta* в сокрытии уязвимостей и доступе сотрудников к данным пользователей

В федеральный суд США подан иск бывшего главы службы безопасности WhatsApp Аттауллы Баига (Attaullah Baig) против компании Meta Platforms, которой принадлежат Facebook, Instagram и WhatsApp. Как сообщает The Guardian и TechCrunch, Баиг утверждает, что более 1,5 тыс. инженеров Meta имели неограниченный доступ к пользовательским данным мессенджера — контактам, IP-адресам и фотографиям профилей — без контроля и журналов аудита.

По данным The Washington Post и TechPolicy Press, истец утверждает, что предупреждал руководство Meta, включая генерального директора Марка Цукерберга, о нарушениях соглашения с Федеральной торговой комиссией (FTC) 2020 года. Это соглашение было заключено после скандала с Cambridge Analytica — британской консалтинговой компанией, которая в 2016 году без ведома пользователей собрала данные десятков миллионов аккаунтов Facebook для политической рекламы. По итогам расследования Meta (тогда Facebook) заплатила штраф в 5 млрд долл и обязалась ужесточить политику конфиденциальности.

В иске говорится, что компания не реагировала на ежедневные взломы более 100 тыс. аккаунтов и заблокировала предложения Баига по усилению защиты, включая создание круглосуточного центра мониторинга и систему отслеживания доступа к данным. После внутренних жалоб и обращений в SEC (Комиссию по ценным бумагам и биржам США) его, по словам Баига, подвергли давлению и уволили под предлогом низких результатов работы.

Продолжение ниже

Meta отвергла обвинения. Вице-президент WhatsApp по коммуникациям Карл Вуг заявил Reuters, что бывший сотрудник «искажает факты» и использует типичный сценарий обиженного работника, добавив, что компания «гордится своей репутацией в области защиты приватности».

По оценкам The Guardian, иск может стать отправной точкой для новых проверок политики Meta в части выполнения обязательств по защите данных и функционирования сквозного шифрования в WhatsApp. Внимание регуляторов может быть привлечено к тому, кто именно имеет технический доступ к пользовательской информации и насколько этот доступ контролируется. Как отмечает TechPolicy Press, претензии Баига затрагивают саму архитектуру доверия, на которой строятся защищённые мессенджеры: если внутренние сотрудники способны получать метаданные или обходить шифрование, это подрывает весь принцип end-to-end защиты.

Эксперты, опрошенные The Guardian и Reuters, указывают, что дело может повлиять не только на Meta, но и на всю индустрию, где компании используют лозунг «сквозное шифрование» как ключевой элемент маркетинга. Проверки и судебные разбирательства могут вынудить технологических гигантов пересмотреть внутренние протоколы доступа, процедуры аудита и сертификацию систем безопасности, а также изменить подход к публичным заявлениям о конфиденциальности.

* Компания Meta признана экстремистской и запрещена в России