В течение последнего года Meta активно рекламировала приватность WhatsApp — своего мессенджера с шифрованием данных, которым пользуются 3 млрд человек в месяц. Например, в одном ролике снимались актеры сериала «Американская семейка» и звучала простая фраза: «Он приватный». В других рекламах подчеркивалось: «В WhatsApp никто не может видеть или слышать ваши личные сообщения… даже мы».
Однако в понедельник бывший руководитель отдела безопасности WhatsApp подал федеральный иск обличителя. Жалобу рассматривает суд Северного округа Калифорнии. В ней изложен ряд предполагаемых проблем с безопасностью и конфиденциальностью, которые Meta, по словам истца, не только не исправила, но и скрывала. Это может быть нарушением условий $5-миллиардного соглашения между тогдашним владельцем WhatsApp — компанией Facebook (ныне Meta) — и Федеральной торговой комиссией США. Иск подал Аттаулла Баиг, который в 2021 году стал главой службы безопасности WhatsApp. Meta все обвинения отрицает.
Системные проблемы
Сразу после назначения Баиг обнаружил серьезные пробелы в киберзащите, которые создавали риски для данных пользователей. Во время тестовых «красных команд», которые ищут уязвимости для дальнейшего устранения, он установил, что около 1500 инженеров в подразделении мессенджера имели фактически неограниченный доступ к пользовательским данным. Речь шла и о персональной информации, которую защищало соглашение с FTC. По словам Баига, сотрудники могли копировать или перемещать эти данные без какого-либо контроля или журнала проверок.
В сентябре 2021 года он сообщил руководителям WhatsApp, что такой масштабный доступ противоречит договоренностям с FTC. Баиг даже подготовил документ, где предложил создать систему классификации и обработки данных, которая бы ограничивала доступ сотрудников и делала хранение информации более безопасным. В иске указано:
«Это был первый реальный шаг к решению фундаментальных проблем управления данными в WhatsApp».
В то же время сам Баиг описывал корпоративную культуру Meta как «секту», где нельзя ставить под сомнение прошлые решения, если их одобрил кто-то выше по должности.
Со временем Баиг начал регулярно обращаться к высшим руководителям компании. Он описывал не только проблему с доступом к данным, но и другие недостатки: отсутствие инвентаризации данных пользователей (что требуют законы Калифорнии, ЕС и соглашение с FTC), неопределенное место хранения части информации, отсутствие систем мониторинга доступа и механизмов обнаружения утечек.
В прошлом году он якобы направил «детальное письмо» генеральному директору Meta Марку Цукербергу и юрисконсульту Дженнифер Ньюстед. В нем говорилось о вероятных нарушениях соглашения с FTC и правил Комиссии по ценным бумагам и биржам (SEC), которые требуют отчитываться об уязвимостях безопасности. Баиг также утверждает, что столкнулся с преследованием на работе, а центральный отдел безопасности Meta «фальсифицировал отчеты», чтобы скрыть решение не устранять риски утечки данных.
Масштабы атак
В иске упомянута и статистика атак на WhatsApp. В 2022 году, по словам Баига, ежедневно около 100 тыс. пользователей теряли доступ к своим аккаунтам из-за взлома. А уже в прошлом году эта цифра достигла 400 тыс. случаев в день.
Отдельная проблема — скрейпинг (автоматизированный процесс извлечения данных с веб-страниц) данных профилей. Баиг предупреждал руководство, что WhatsApp не имеет базовых защит, которые есть в Signal или Apple Messages. По его оценкам, ежедневно копировались фото и имена из примерно 400 млн аккаунтов, и эти данные использовались в мошеннических схемах с подменой профилей.
Он предлагал ограничить просмотр профилей — разрешить его только тем, кто уже есть в контактах пользователя, писал ему сообщения или находится с ним в одном групповом чате. В иске сказано:
«WhatsApp фактически ежедневно выдает защищенную информацию о миллионах, если не миллиардах пользователей, и при этом почти не отчитывается о таких случаях перед FTC и другими регуляторами».
Meta отказалась от этого предложения, аргументируя, что ограничения могут навредить росту пользовательской базы.
Реакция компании
В ответ на публикацию обвинений, со стороны WhatsApp появился следующий комментарий:
«К сожалению, это знакомый сценарий: бывший сотрудник, уволенный из-за низких результатов, публично делает искаженные заявления, которые не отражают работу нашей команды. Безопасность — это постоянная борьба, и мы гордимся своим уровнем защиты конфиденциальности».
Во втором письме компания уточнила, что Министерство труда США отклонило жалобу Баига, поданную по закону о защите разоблачителей. Meta также пояснила, что Баиг работал менеджером по разработке программного обеспечения, но формально занимал позицию инженера первого уровня с несколькими директорами над ним.
«Сотрудник ушел из-за низкой эффективности», — добавила компания.
По ее словам, несколько старших инженеров подтвердили, что результаты работы Баига не соответствовали ожиданиям. WhatsApp также отмечает, что идея об игнорировании мнения работников противоречит культуре компании:
«Мы всегда рассматриваем различные подходы и ведем активные дискуссии, чтобы создавать передовые функции и системы защиты».
Руководители заявили, что претензии Баига были слишком общими и дублировали работу, которая уже выполнялась другими командами.
Источник: arstechnica
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: