Ex-chefe de segurança do WhatsApp processa a Meta por falhas de privacidade

Um ex-funcionário da Meta entrou com um processo acusando a empresa de permitir "falhas sistêmicas de segurança cibernética" no WhatsApp, que colocaram em risco a privacidade do usuário.

A denúncia, apresentada na segunda-feira no Tribunal Distrital dos EUA para o Distrito Norte da Califórnia, parte de Attaullah Baig, ex-chefe de segurança do WhatsApp. Baig alega que a Meta retaliou contra ele depois que ele expressou preocupações, inclusive diretamente ao CEO Mark Zuckerberg, sobre falhas graves no aplicativo de mensagens.

Ex-chefe de segurança do WhatsApp afirma que a Meta ignorou riscos de privacidade

O processo, apresentado no Tribunal Distrital dos EUA para o Distrito Norte da Califórnia, alega que, após ingressar no WhatsApp em 2021, Baig descobriu falhas de segurança que violaram as leis federais de valores mobiliários e as obrigações da Meta sob um acordo de privacidade.

O caso surge no contexto das batalhas judiciais mais amplas da Meta, incluindo seu recente pedido a um juiz federal dos EUA para que rejeite o processo antitruste da FTC. Esse processo acusa a Meta de consolidar ilegalmente poder no mercado de mídias sociais ao adquirir o Instagram e o WhatsApp.

Em sua defesa, a Meta argumenta que a FTC não apresentou provas suficientes de que os acordos eram anticoncorrenciais ou prejudiciais aos consumidores. A empresa alega que o Instagram e o WhatsApp prosperaram sob sua gestão, beneficiando-se de investimentos significativos, segurança aprimorada e recursos melhorados. Como relatado anteriormente pela Cryptopolitanrestrita de mercado da FTC defi, apontando que plataformas como TikTok, YouTube e Reddit competem diretamente pela atenção dos usuários.

No caso em questão, Baig alegou que, em um teste de segurança com a equipe central da Meta, descobriu que cerca de 1.500 engenheiros do WhatsApp tinham acesso irrestrito a dados sensíveis de usuários e podiam movê-los ou roubá-los sem serem detectados ou terem seus registros de auditoria apagados. A Meta contestou as alegações de Baig em um comunicado e tentou minimizar sua posição e responsabilidades.

“Infelizmente, este é um roteiro comum, no qual um ex-funcionário é demitido por baixo desempenho e, em seguida, torna públicas alegações distorcidas que deturpam o árduo trabalho contínuo de nossa equipe”, escreveu o porta-voz. “A segurança é um campo de batalha, e nos orgulhamos de construir sobre nossotronhistórico de proteção da privacidade das pessoas.”

O grupo de denunciantes Psst.org representa Baig juntamente com o escritório de advocacia Schonbrun, Seplow, Harris, Hoffman & Zeldes.  Embora o processo não alegue que os dados dos usuários foram diretamente comprometidos, afirma que Baig alertou repetidamente seus superiores de que as deficiências de segurança cibernética do WhatsApp criavam sérios riscos de não conformidade com as regulamentações.

Os problemas citados são a falta de um centro de operações de segurança 24 horas por dia, 7 dias por semana, adequado ao tamanho da plataforma, sistemas inadequados para traco acesso dos funcionários aos dados dos usuários e a ausência de um inventário abrangente dos sistemas de armazenamento de dados, o que impossibilita a proteção adequada e a divulgação regulatória.

Os advogados de Baig argumentam no processo que seus superiores criticaram repetidamente seu trabalho e que ele começou a receber "feedback negativo sobre seu desempenho" apenas três dias após sua denúncia inicial de violação de segurança cibernética.

No final do ano passado, Baig informou a SEC sobre as supostas “ defie a falha em informar os investidores sobre riscos materiais de cibersegurança”, afirma o processo. Um mês depois, Baig enviou a Zuckerberg a segunda de duas cartas, informando o CEO de que “havia apresentado a queixa à SEC” e que estava “solicitando ação imediata para lidar tanto com as falhas de conformidade subjacentes quanto com a retaliação ilegal”.

A Meta nega as alegações, classificando o processo como um ataque "distorcido" ao seu histórico

Em janeiro, segundo o processo, Baig apresentou uma queixa à Administração de Segurança e Saúde Ocupacional (OSHA), relatando "a retaliação sistêmica" que alegou ter sofrido após as divulgações de segurança.

No mês seguinte, a denúncia afirma que a Meta demitiu Baig, alegando "desempenho insatisfatório". Isso ocorreu durante as demissões em massa da empresa em fevereiro, que afetaram 5% de seus funcionários.

O processo alega que o momento e as circunstâncias da demissão de Baig demonstram uma clara ligação com sua atividade protegida. Ela ocorreu logo após seus registros junto a órgãos reguladores externos, culminando mais de dois anos de suposta retaliação sistêmica devido às suas divulgações sobre segurança cibernética e à pressão para que cumprisse a lei federal e as ordens regulatórias.

Os advogados de Baig disseram que ele apresentou uma notificação na segunda-feira para transferir suas reivindicações relacionadas à SEC para o tribunal federal e que já havia esgotado todos os recursos administrativos antes de prosseguir com o caso.