Meta pozwana przez byłego pracownika WhatsApp

Attaullah Baig – były pracownik WhatsApp – 8 września wniósł pozew przeciwko Meta do Sądu Okręgowego Stanów Zjednoczonych dla Północnego Okręgu Kalifornii. 

Powodem są działania, które Baig uznał za naruszenie ustawy Sarbanes-Oxley, regulującej m.in. mechanizmy audytu i kontroli wewnętrznej. Chodzi o nieujawnianie problemów z bezpieczeństwem informacji, potencjalne oszustwa wobec akcjonariuszy i łamanie zasad SEC (Securities and Exchange Commission) dotyczących właśnie kontroli wewnętrznej.

Po zgłoszeniu obaw dotyczących prywatności i bezpieczeństwa kierownictwu firmy – jak wskazano w pozwie – przez dwa lata oceny pracy Baiga były obniżane, a jego projekty miały być sabotowane.

Błędy bezpieczeństwa w WhatsApp

Treść pozwu wskazuje, że podczas spotkania z kierownictwem WhatsApp w październiku 2022 r., Baig przedstawił szczegóły krytycznych błędów, które miały obejmować braki w:

• ewidencji danych użytkowników – brak pełnej listy wszystkich zbieranych danych, co miało naruszać wymagania kalifornijskiej ustawy CCPA, europejskiego RODO oraz Privacy Order (wytycznych Federalnej Komisji Handlu);
• lokalizacji przechowywania danych – brak pełnej ewidencji systemów przechowujących dane użytkowników, co utrudniało ich skuteczną ochronę i realizację wymaganych przepisami działań, np. udostępnienie kopii danych użytkownikowi;
• monitorowania dostępu – WhatsApp nie posiadał systemów monitorujących dostęp do danych użytkowników, co uniemożliwiało wykrycie podejrzanej aktywności;
• możliwości wykrywania naruszeń danych – firma nie dysponowała całodobowym SOC (Security Operations Center) standardowym dla podmiotów tej wielkości, co naruszało wymogi Privacy Order;

Ponadto pracownicy WhatsApp mieli posiadać nieograniczony dostęp do informacji o użytkownikach bez uzasadnienia biznesowego, co naruszało wymagania FTC (Federalnej Komisji Handlu) w zakresie ograniczenia dostępu do danych. 

Według Baiga we wrześniu 2021 r., podczas ćwiczeń red team odkrył, że dane użytkowników są dostępne bez ograniczeń dla ok. 1500 inżynierów. W pozwie wskazano, że mogli oni ustalić przybliżoną lokalizację dowolnego użytkownika podczas komunikacji (na podstawie jego adresu IP) oraz zobaczyć numer kontaktowy osoby, z którą prowadził rozmowę.

Represje za zauważanie problemów

Po zgłoszeniu tych problemów przełożonym, Baig miał doświadczać represji, a mimo to kontynuował dokumentowanie swoich obaw, m.in. wysyłając wiadomość do Marka Zuckerberga oraz Jennifer Newstead (głównej radczyni prawnej Meta). Poinformował o naruszeniach przepisów oraz represjach, których doświadczał z powodu swoich zgłoszeń.

Z pozwu wynika, że w listopadzie 2024 r. Baig złożył skargę do SEC – miał w niej udokumentować niedociągnięcia Meta oraz brak informowania inwestorów o istotnych ryzykach związanych z bezpieczeństwem informacji. W grudniu tego samego roku miał wysłać drugi list do Marka Zuckerberga, informując o dalszych problemach z cyberbezpieczeństwem i narastające represje.

Baig zwrócił także uwagę na zobowiązanie firmy wobec Irlandzkiego Komisarza ds. Ochrony Danych dotyczące zabezpieczeń, które rzekomo miały uniemożliwiać pracownikom dostęp do danych użytkowników. W praktyce jednak – jak wskazuje w pozwie – takie mechanizmy nie zostały wprowadzone. 

On January 30, 2024, Mr. Baig provided upward feedback to Nitin Gupta documenting Meta’s “false commitment” to the Irish Data Privacy Commissioner regarding technical controls preventing WhatsApp user data access by Meta employees. Mr. Baig cited specific examples of data warehouse tables accessible to 20,000-65,000 employees, directly violating both the “Uber Commitment” and Section VII of the 2020 Privacy Order. It was later discovered that some data warehouse tables could be accessed by even a higher number of employees (i.e.: 100,000).

W styczniu 2025 r. Baig złożył skargę w Occupational Safety and Health Administration w związku z represjami, których doświadczał ze strony firmy. Częścią tych działań miało być sabotowanie podejmowanych przez niego czynności w związku z potencjalnymi zagrożeniami bezpieczeństwa. Blokowane miały być walka Baiga ze scraperami (pobierającymi zdjęcia profilowe użytkowników) oraz wdrażanie rozwiązań Post Compromise Account Recovery (PCR) mających pomóc użytkownikom, których konta zostały przejęte.

Zwolnienie i stanowisko firmy

10 lutego 2025 r. Baig dowiedział się, że jego zatrudnienie w firmie się zakończyło. Oficjalnie miało być to jedno z wielu masowych zwolnień.

Meta stanowczo zaprzecza zarzutom Baiga. Zade Alsawah, menedżer ds. komunikacji w WhatsApp, przekazał że Baig nigdy nie był szefem działu bezpieczeństwa, a jego formalnym tytułem był software engineering manager. Stwierdził, że niesłusznie kreował się na centralną postać, bo w strukturach WhatsApp pracowało wielu doświadczonych specjalistów.

Jest to odniesienie do treści pozwu, w którym Baig określił swoją rolę jako Head of Security.

Z kolei Carl Woog – wiceprezes ds. polityk bezpieczeństwa w WhatsApp twierdzi, że jest to znany scenariusz, w którym były pracownik zostaje zwolniony za niską wydajność, a następnie publicznie przedstawia niesłuszne zarzuty. 

Historia Baiga przypomina trochę przypadek Peitera “Mudge” Zatko – sygnalisty Twittera. W tym samym okresie, gdy Baig pracował w Meta, Zatko jako specjalista ds. bezpieczeństwa dokumentował podobne problemy. Jak wskazuje pozew, podczas jednego ze spotkań Jonathan Lee, dyrektor ds. globalnej polityki publicznej WhatsApp, zapytał: Czy znajdziemy się w takiej samej sytuacji jak Mudge na Twitterze?

Baig w pozwie domaga się odszkodowania za poniesione szkody i zwraca się do sądu o ustalenie, czy Meta i jej kierownictwo naruszyli ustawę Sarbanes-Oxley.

Źródła:

• theguardian.com
• livemint.com
• techpolicy.press

~Tymoteusz Jóźwiak