Când un inginer de securitate de la WhatsApp a început să semnaleze îngrijorări privind practicile de administrare a datelor, au urmat o serie de plângeri care au ajuns la cele mai înalte niveluri ale conducerii Meta, inclusiv la Mark Zuckerberg și la avocatul general Jennifer Newstead. Într-un context în care reglementările europene și cele din California cer inventarierea și protejarea datelor, acuzațiile explicite privind accesul neautorizat, lipsa unor sisteme de monitorizare și incapacitatea de a detecta breșe au adus în prim-plan problema responsabilității și a transparenței într-o corporație de mari dimensiuni.
Inginerul, menționat în plângere sub numele Baig, a relatat accesul necorespunzător al unor colegi la datele utilizatorilor WhatsApp și a evidențiat multiple deficiențe: nu exista un inventar clar al datelor utilizatorilor, nu se cunoștea precis locul de stocare al anumitor informații, nu existau mecanisme eficiente de monitorizare a accesului la date, iar sistemele nu detectau breșe la un nivel comparabil cu cel din alte companii din industrie. Pe scurt, procedurile cerute de reglementări și de acordurile cu autoritățile, inclusiv prevederile unui acord anterior cu FTC, păreau neaplicate sau incomplete.
Potrivit plângerii, în 2022 aproximativ 100.000 de conturi WhatsApp erau compromise zilnic; în anul următor cifra ar fi crescut la 400.000 de utilizatori blocați zilnic din cauza preluărilor de conturi. Baig ar fi transmis o scrisoare detaliată către Zuckerberg și Newstead, avertizând nu doar asupra posibilelor încălcări ale înțelegerii cu FTC, ci și asupra obligațiilor de raportare a vulnerabilităților impuse de SEC. În aceeași corespondență, el afirmă că a fost supus represaliilor de către conducere și acuză echipa centrală de securitate Meta că ar fi manipulat rapoarte pentru a ascunde decizii de a nu remedia riscurile de exfiltrare a datelor.
Un alt aspect central semnalat a fost scraping-ul masiv de date pe platformă. Baig a comparat măsurile de protecție ale WhatsApp cu cele ale altor servicii de mesagerie, precum Signal și Apple Messages, și a susținut că, din cauza absenței unor mecanisme de protecție, imagini și nume din aproximativ 400 de milioane de profiluri ar fi fost copiate zilnic. Aceste informații erau adesea folosite ulterior în înșelătorii care implică imitarea conturilor, sporind riscul pentru utilizatori.
Plângerea invocă și prevederi din Legea Sarbanes-Oxley referitoare la protecția avertizorilor, susținând că Baig ar fi beneficiat de protecție pentru că a semnalat aceste probleme, însă a suferit represalii. Afirmațiile ridică nu doar întrebarea despre modul în care o platformă mare gestionează date sensibile, ci și despre cultura organizațională care poate bloca remedierea deficiențelor atunci când angajații semnalează neconformități.
Faptele relatate, cifrele privind conturile compromise, scrisorile adresate direct conducerii și acuzațiile de falsificare a rapoartelor, subliniază tensiunea dintre obligațiile legale și practicile interne. Cazul amintește de numeroasele dezbateri recente despre responsabilitatea platformelor de comunicații în protejarea utilizatorilor și despre necesitatea unei supravegheri externe pentru a asigura respectarea regulilor. Poate părea surprinzător că, în era criptării și a preocupărilor pentru confidențialitate, problemele de securitate operațională și de guvernanță rămân atât de provocatoare.
Detaliile concrete, numele Meta, WhatsApp, Mark Zuckerberg, Jennifer Newstead, cifrele de 100.000 și 400.000 de conturi compromise zilnic și estimarea de 400 de milioane de profiluri copiate, ilustrează amploarea problemelor semnalate. În paralel, implicarea instituțiilor precum FTC și SEC și invocarea Sarbanes-Oxley scot în evidență complexitatea juridică a situației, care nu mai este doar un conflict intern, ci un subiect de conformitate și reglementare la nivel înalt.
Urmările depind de verificarea independentă a afirmațiilor și de acțiunile autorităților competente, precum și de felul în care Meta va răspunde concret la aceste acuzații pentru a recâștiga încrederea utilizatorilor. Voiam să încep cu o glumă despre parole uitate, dar când se susține că sute de mii de conturi sunt preluate zilnic, umorul devine mai reținut. Cum crezi că ar trebui marile companii să îmbine securitatea tehnică cu o cultură internă care încurajează semnalarea problemelor?
daaar, vezi să nu… cine răspunde la final? prea multe scuze, prea puțină acțiune.