Протягом останнього року Meta активно рекламувала приватність WhatsApp — свого месенджера з шифруванням даних, яким користуються 3 млрд людей на місяць. Наприклад, в одному ролику знімалися актори серіалу “Американська сімейка” і звучала проста фраза: “Він приватний”. В інших рекламах наголошувалося: “У WhatsApp ніхто не може бачити чи чути ваші особисті повідомлення… навіть ми”.
Однак у понеділок колишній керівник відділу безпеки WhatsApp подав федеральний позов викривача. Скаргу розглядає суд Північного округу Каліфорнії. У ньому викладено низку ймовірних проблем із безпекою й конфіденційністю, які Meta, за словами позивача, не тільки не виправила, а й приховувала. Це може бути порушенням умов $5-мільярдної угоди між тодішнім власником WhatsApp — компанією Facebook (нині Meta) — і Федеральною торговою комісією США. Позов подав Аттаулла Баіг, який у 2021 році став головою служби безпеки WhatsApp. Meta всі звинувачення заперечує.
Системні проблеми
Одразу після призначення Баіг виявив серйозні прогалини в кіберзахисті, що створювали ризики для даних користувачів. Під час тестових “червоних команд”, які шукають уразливості для подальшого усунення, він встановив, що близько 1500 інженерів у підрозділі месенджера мали фактично необмежений доступ до користувацьких даних. Йшлося і про персональну інформацію, яку захищала угода з FTC. За словами Баіга, співробітники могли копіювати чи переміщувати ці дані без будь-якого контролю чи журналу перевірок.
У вересні 2021 року він повідомив керівників WhatsApp, що такий масштабний доступ суперечить домовленостям із FTC. Баіг навіть підготував документ, де запропонував створити систему класифікації та обробки даних, яка б обмежувала доступ співробітників і робила зберігання інформації безпечнішим. У позові зазначено:
“Це був перший реальний крок до вирішення фундаментальних проблем управління даними у WhatsApp”.
Водночас сам Баіг описував корпоративну культуру Meta як “секту”, де не можна ставити під сумнів минулі рішення, якщо їх схвалив хтось вище за посадою.
Згодом Баіг почав регулярно звертатися до вищих керівників компанії. Він описував не тільки проблему з доступом до даних, а й інші недоліки: відсутність інвентаризації даних користувачів (що вимагають закони Каліфорнії, ЄС та угода з FTC), невизначене місце зберігання частини інформації, відсутність систем моніторингу доступу та механізмів виявлення витоків.
Минулого року він нібито надіслав “детального листа” генеральному директору Meta Марку Цукербергу та юрисконсульту Дженніфер Ньюстед. У ньому йшлося про ймовірні порушення угоди з FTC та правил Комісії з цінних паперів і бірж (SEC), які вимагають звітувати про вразливості безпеки. Баіг також стверджує, що зіткнувся з переслідуванням на роботі, а центральний відділ безпеки Meta “фальсифікував звіти”, щоб приховати рішення не усувати ризики витоку даних.
Масштаби атак
У позові згадано й статистику атак на WhatsApp. У 2022 році, за словами Баіга, щодня близько 100 тис. користувачів втрачали доступ до своїх акаунтів через злом. А вже торік ця цифра сягнула 400 тис. випадків на день.
Окрема проблема — скрейпінг (автоматизований процес витягання даних з вебсторінок) даних профілів. Баіг попереджав керівництво, що WhatsApp не має базових захистів, які є в Signal чи Apple Messages. За його оцінками, щодня копіювалися фото й імена з приблизно 400 млн акаунтів, і ці дані використовувалися у шахрайських схемах із підміною профілів.
Він пропонував обмежити перегляд профілів — дозволити його лише тим, хто вже є у контактах користувача, писав йому повідомлення або перебуває з ним в одному груповому чаті. У позові сказано:
“WhatsApp фактично щодня видає захищену інформацію про мільйони, якщо не мільярди користувачів, і при цьому майже не звітує про такі випадки перед FTC та іншими регуляторами”.
Meta відмовилася від цієї пропозиції, аргументуючи, що обмеження можуть зашкодити зростанню бази користувачів.
Реакція компанії
У відповідь на публікацію звинувачень, з боку WhatsApp з’явився наступний коментар:
“На жаль, це знайомий сценарій: колишній співробітник, звільнений через низькі результати, публічно робить перекручені заяви, які не відображають роботу нашої команди. Безпека — це постійна боротьба, і ми пишаємося своїм рівнем захисту конфіденційності”.
У другому листі компанія уточнила, що Міністерство праці США відхилило скаргу Баіга, подану за законом про захист викривачів. Meta також пояснила, що Баіг працював менеджером з розробки програмного забезпечення, але формально займав позицію інженера першого рівня з кількома директорами над ним.
“Співробітник пішов через низьку ефективність”, — додала компанія.
За її словами, кілька старших інженерів підтвердили, що результати роботи Баіга не відповідали очікуванням. WhatsApp також зазначає, що ідея про ігнорування думки працівників суперечить культурі компанії:
“Ми завжди розглядаємо різні підходи та ведемо активні дискусії, щоб створювати передові функції й системи захисту”.
Керівники заявили, що претензії Баіга були надто загальними й дублювали роботу, яка вже виконувалася іншими командами.
Джерело: arstechnica
Повідомити про помилку
Текст, який буде надіслано нашим редакторам: