Son bir yıldır Meta, 3 milyar kullanıcısı olan şifreli mesajlaşma uygulaması WhatsApp'ın gizliliğini öven reklamlarla ekranları doldurdu. Bir reklam kampanyasında yer alan bir oyuncu, "WhatsApp'ta kimse kişisel mesajlarınızı göremez veya duyamaz... biz bile." diyerek uygulamanın gizliliğini vurguluyor.
"Kullanıcı Verileri İçin Ciddi Riskler Mevcut"
Ancak geçtiğimiz Pazartesi günü, Meta'ya ait mesajlaşma uygulamasının eski güvenlik patronu, şirketin gizliliği konusundaki iddialarıyla taban tabana zıt bir durumu ortaya koyan federal bir ihbarcı davası açtı. ABD Kuzey Kaliforniya Bölge Mahkemesi'nde açılan davada, Meta'nın farkında olduğu ancak düzeltmediği, hatta gizli tuttuğu yönündeki iddialar sıralanıyor. Bu durumun, WhatsApp'ın o dönemdeki ana şirketi Facebook'un ABD Federal Ticaret Komisyonu (FTC) ile vardığı 5 milyar dolarlık anlaşmayı ihlal ettiği öne sürülüyor. Davacı Attaullah Baig, 2021 yılında WhatsApp'ın güvenlik başkanı olmuştu.
Meta ise bu suçlamaları reddediyor.
Dava dilekçesine göre, Baig göreve başladıktan kısa bir süre sonra "kullanıcı verileri için ciddi riskler oluşturan sistemik siber güvenlik hataları" tespit ettiğini belirtti. Güvenlik açıklarını tespit edip düzeltmek amacıyla yapılan bir 'red-team' (saldırı simülasyonu) egzersizi sırasında Baig, mesajlaşma bölümündeki yaklaşık 1.500 mühendisin FTC Gizlilik Düzeni kapsamında yer alan kişisel bilgiler de dahil olmak üzere kullanıcı verilerine "sınırsız erişimi" olduğunu ve bu verileri tespit edilemeden veya denetim izi bırakmadan taşıyıp silebildiklerini gördüğünü iddia etti.
Baig, Eylül 2021'den itibaren WhatsApp'tan sorumlu yöneticilerini, bu kadar çok çalışanın sınırsız erişiminin 2019 tarihli anlaşmayı muhtemelen ihlal ettiği konusunda bilgilendirmeye başladı. Diğer hususların yanı sıra, WhatsApp gizlilik altyapı ekibine, saklanan kullanıcı verilerinin güvenliğini sağlamak ve çalışan erişimini sıkılaştırmak amacıyla anlaşmaya uyumlu bir veri sınıflandırma ve işleme sistemi uygulaması yönünde bir belge taslağı hazırladı.
Dilekçede, "Bu, WhatsApp'ın temel veri yönetimi hatalarını ele almaya yönelik ilk somut adım niteliğindeydi." denildi. "Bay Baig, Meta'nın kültürünün, geçmişte onaylanmış herhangi bir işin sorgulanamayacağı, özellikle de bunu yapan kişinin seviyesi daha yüksek birinden onay almışsa, bir kültürel yapıya benzediğini anlamıştı." Sonraki yıllarda Baig, üst düzey liderleri harekete geçmeye çağırmaya devam etti.
Mektupta, mühendislerin WhatsApp kullanıcı verilerine olan uygunsuz erişimlerinin yanı sıra, Kaliforniya, Avrupa Birliği ve FTC anlaşması uyarınca zorunlu olan "kullanıcı verilerini envanterleme başarısızlığı", veri depolama yerlerinin belirlenmemesi, kullanıcı verileri erişimini izleme sistemlerinin yokluğu ve diğer şirketlerde standart olan veri ihlallerini tespit edememe gibi çeşitli başka eksiklikler de sıralandı.
Baig'in geçen yıl Meta CEO'su Mark Zuckerberg ve Meta Genel Hukuk Müşaviri Jennifer Newstead'a, FTC anlaşmasının ve güvenlik açıklarının bildirilmesini zorunlu kılan Menkul Kıymetler ve Borsa Komisyonu kurallarının ihlal edildiğini bildiren ayrıntılı bir mektup gönderdiği iddia ediliyor. Mektupta ayrıca, Meta liderlerinin kendisine misilleme yaptığı ve merkezi Meta güvenlik ekibinin veri sızdırma risklerini giderme kararlarını örtbas etmek için güvenlik raporlarını "sahtelediği" iddia edildi.
2002 yılında kabul edilen Sarbanes-Oxley Yasası'nın ihbarcıyı koruma hükümlerini ihlal ettiği iddiasıyla açılan davada, 2022 yılında günde yaklaşık 100.000 WhatsApp kullanıcısının hesaplarının hacklendiği belirtiliyor. Dava dilekçesine göre, geçen yıla kadar her gün 400.000'e kadar WhatsApp kullanıcısının hesap ele geçirme sonucu hesaplarına erişemez hale geldiği iddia ediliyor.
Baig ayrıca, WhatsApp'ın Signal ve Apple Messages gibi diğer mesajlaşma platformlarında standart olan korumaları uygulamadığı için platformdaki veri kazıma (data scraping) işleminin bir sorun olduğunu üstlerine bildirdiği iddia ediliyor. Sonuç olarak, eski WhatsApp başkanı, yaklaşık 400 milyon kullanıcı profilinin resim ve isimlerinin her gün usulsüz bir şekilde kopyalandığını ve sıklıkla hesap kimlik avı dolandırıcılığı için kullanıldığını tahmin etti. Dilekçede şunlar belirtiliyor:
Meta liderlerinin, bu öneriyi WhatsApp kullanıcı büyümesini engelleyeceği gerekçesiyle reddettiği iddia ediliyor.
WhatsApp'tan bir temsilci e-posta ile şu açıklamayı yaptı: "Üzülerek belirtmek isteriz ki bu, eski bir çalışanın kötü performansı nedeniyle işten çıkarıldığı ve ardından ekibimizin devam eden yoğun çalışmalarını çarpıtan yanlış iddialarla kamuoyuna açıldığı tanıdık bir taktik. Güvenlik rekabetçi bir alandır ve insanları gizliliğini koruma konusundaki güçlü geçmişimizle gurur duyuyoruz."
Bu yazı yayınlandıktan sonra gönderilen ikinci bir e-postada WhatsApp, Çalışma Bakanlığı'nın Sarbanes Oxley ihbarcı iddialarını içeren Baig'in dosyasını reddettiğini belirtti.
E-postada ayrıca Baig'in unvanının "yazılım mühendisliği yöneticisi" olduğu ve WhatsApp pozisyonuna "bu işten sorumlu mühendislikten sorumlu Başkan Yardımcısı'na rapor veren birden fazla yönetici ile birlikte 1. seviye bir mühendis olarak başlayıp bitirdiği" ifade edildi.
E-postada, "Çalışan, kötü performansı nedeniyle şirketten ayrıldı." denildi. "Birden fazla üst düzey mühendis, işten çıkarılmadan önce çalışmalarının beklentilerimizin altında kaldığını bağımsız olarak doğruladı."
E-postada ayrıca şunlar eklendi:
