„Tieto správy nemôže okrem vás vidieť nikto. Ani my.“ Takto by sa dalo zhrnúť posolstvo spoločnosti Meta v súvislosti s komunikačnou aplikáciou WhatsApp. Zdá sa však, že tento popis je skôr súčasťou marketingových kampaní a nie reality.
Bývalý šéf bezpečnosti WhatsApp, Attaullah Baig, podal federálnu žalobu, ktorá odhaľuje úplne odlišný príbeh. Podľa jeho tvrdení Meta nielenže ignorovala závažné bezpečnostné zlyhania, ale dokonca ich utajovala, čím porušila dohodu o urovnaní s Federálnou obchodnou komisiou (FTC) v hodnote 5 miliárd dolárov.
Zlyhania zabezpečenia: 1 500 inžinierov s „neobmedzeným“ prístupom
Baig tvrdí, že približne 1 500 inžinierov v divízii WhatsApp malo neobmedzený prístup k údajom používateľov, vrátane citlivých osobných informácií, ktoré mali byť chránené podľa nariadenia FTC (americký regulačný orgán). Tento prístup umožňoval potenciálne krádeže alebo manipuláciu s dátami bez akejkoľvek auditovej stopy.
Baig okamžite informoval nadriadených a navrhol zavedenie prísnejších kontrol a systémov klasifikácie údajov, aby sa zamedzilo neoprávnenému prístupu. Tvrdí, že Meta jeho opatrenia ignorovala a kultúra spoločnosti bola podľa neho „ako kult, kde nemožno spochybňovať minulé rozhodnutia vyššie postavených osôb“.
Masívny únik údajov a nebezpečenstvo pre používateľov
Podľa žaloby Baig odhalil, že každý deň bolo hacknutých približne 100 000 účtov WhatsApp, pričom následne až 400 000 účtov bolo zablokovaných. WhatsApp údajne nezaviedol základné bezpečnostné opatrenia, ktoré sú štandardom u konkurencie ako Signal či Apple Messages. Dôsledkom bolo, že denne mohlo byť neoprávnene skopírovaných až 400 miliónov profilov používateľov, často s cieľom podvodov a falšovania identity.
Baig odporučil, aby používatelia nemali prístup k profilom ostatných, pokiaľ ich nemajú v kontaktoch alebo nezaslali správu. Meta jeho návrhy údajne zamietla s argumentom, že by to mohlo spomaliť rast používateľov.
„Falšovanie správ“ a zastrašovanie whistleblowerov
Bývalý šéf bezpečnosti tvrdí, že Meta dokonca falšovala interné bezpečnostné správy, aby zakryla svoje rozhodnutia neodstrániť riziká úniku dát. V žalobe sa spomína aj porušenie zákona Sarbanes-Oxley o ochrane oznamovateľov. Baig tvrdí, že jeho upozornenia na nebezpečenstvo boli ignorované a vedúci pracovníci sa mu údajne mstili.
Meta: Typický príklad nespokojného zamestnanca
V e-maile pre ArsTechnica zástupca spoločnosti WhatsApp napísal: „Bohužiaľ, ide o známy scenár, keď bývalý zamestnanec je prepustený pre slabé výkony a potom zverejní skreslené tvrdenia, ktoré nesprávne interpretujú nepretržitú tvrdú prácu nášho tímu. Bezpečnosť je kontroverzná oblasť a sme hrdí na to, že môžeme stavať na našich silných výsledkoch v oblasti ochrany súkromia ľudí.“
Spoločnosť teda kategoricky odmieta obvinenia. Podľa nich bol Baig softvérový manažér, ktorý „opustil spoločnosť z dôvodu slabých pracovných výsledkov. Viacerí vedúci inžinieri nezávisle potvrdili, že jeho práca bola pred jeho prepustením pod úrovňou našich očakávaní.“
„Myšlienka, že príspevky akéhokoľvek člena tímu týkajúce sa fungovania našej aplikácie by boli odmietnuté alebo ignorované, je v rozpore s kultúrou WhatsApp. Trváme na rôznych pohľadoch a dôkladnej diskusii, pretože nám to pomáha pokračovať vo vývoji a zavádzaní mnohých popredných bezpečnostných funkcií a systémov v našom odvetví.“
„Keď ako zamestnanec vzniesol sťažnosti, vedúci pracovníci a odborníci WhatsApp posúdili jeho tvrdenia a dospeli k záveru, že sú príliš všeobecné alebo sa prekrývajú s prácou, ktorú plánovali a už vykonávali iní.“
Prečo by vás to malo zaujímať
Tento prípad poukazuje na zásadný problém: ilúzia súkromia, ktorú Meta prezentuje vo svojich reklamách, môže byť veľmi odlišná od reality. Milióny používateľov sa domnievajú, že ich správy sú skutočne bezpečné, zatiaľ čo interné procesy spoločnosti odhaľujú možné zraniteľnosti, nedostatočnú kontrolu prístupu a neadekvátnu ochranu údajov.
Ak používate WhatsApp, mali by ste si byť vedomí, že súkromie nie je absolútne a kontrola údajov môže byť výrazne obmedzená internou politikou a technickými zlyhaniami spoločnosti.
