Son günlerde, eski Meta çalışanı ABD Kaliforniya Kuzey Bölgesi Federal Mahkemesi'nde şirkete dava açtı ve WhatsApp'taki "sistemik siber güvenlik açıklarının" kullanıcı gizliliğini tehdit ettiğini iddia etti. Bu iddia, WhatsApp'ın eski güvenlik sorumlusu Attaullah Baig'den geldi ve Baig, Meta'nın güvenlik endişelerini dile getirdikten sonra kendisine misilleme yaptığını, bu sorunları doğrudan CEO Mark Zuckerberg'e bildirdiğini ifade etti.

Baig'in 2021 yılında WhatsApp'a katılmasıyla keşfedilen güvenlik açığı, federal menkul kıymetler yasalarını ve Meta'nın 2020 yılında Federal Ticaret Komisyonu (FTC) ile yaptığı gizlilik anlaşmasını ihlal ettiği iddia ediliyor. Davanın arkasında, Meta'nın son zamanlarda bir ABD federal yargıcından FTC'nin tekelci dava talebini reddetmesini istemesi gibi daha geniş bir hukuki ihtilaf yelpazesi yer alıyor. Bu dava, Meta'nın Instagram ve WhatsApp'ı satın alarak sosyal medya pazarındaki gücünü yasadışı bir şekilde pekiştirdiğini iddia ediyor.

Bu davada, Baig, Meta'nın çekirdek ekibi ile gerçekleştirdiği güvenlik testlerinde yaklaşık 1500 WhatsApp mühendisinin hassas kullanıcı verilerine sınırsız erişim sağladığını ve bu davranışları kaydedecek denetim veya izleme günlüğü olmadığını iddia etti. Meta, açıklamasında Baig'in iddialarını yalanladı ve onun pozisyonunu ve sorumluluklarını küçümsemeye çalıştı.

"Ne yazık ki, bu yaygın bir senaryo; işten çıkarılan çalışanlar kötü performansları nedeniyle açıkça çarpıtılmış iddialarda bulunarak dış dünyayı ekibimizin sıkı çalışmaları hakkında yanıltıyorlar." dedi sözcü. "Güvenlik, rekabetçi bir alan ve biz kullanıcıların gizliliğini koruma konusundaki iyi sicilimizle gurur duyuyoruz."

Dava, kullanıcı verilerinin sızdırıldığına dair doğrudan bir iddiada bulunmamakla birlikte, Baig üst yönetimine WhatsApp'ın siber güvenlik açıklarının ciddi düzenleyici uyum riskleri getirdiğini defalarca bildirmiştir. İddialara göre, sorunlar arasında ölçeğine uygun 7/24 güvenlik operasyon merkezi eksikliği, çalışanların kullanıcı verilerine erişimini izlemek için yetersiz sistemler ve kapsamlı bir veri depolama sistemi dizini eksikliği bulunmaktadır; bu durum veri koruma ve düzenleyici açıklamaların mümkün olmasını imkansız hale getirmektedir.

Dava belgelerine göre, Baig'in amiri işini defalarca eleştirdi ve siber güvenlik sorunlarını ilk kez açıkladıktan üç gün sonra "olumsuz iş performansı geri bildirimleri" vermeye başladı. Geçen yılın sonunda, Baig, Menkul Kıymetler ve Borsa Komisyonu'na sözde "siber güvenlik açıkları ve yatırımcılara önemli siber güvenlik risklerini bildirmediğini" bildirdi. Bir ay sonra, Baig tekrar Zuckerberg'e bir mektup göndererek SEC'e şikayette bulunduğunu bildirdi ve uyumsuzluk ve yasadışı misilleme sorunlarının derhal çözülmesi için harekete geçilmesini talep etti.

Dava dosyasına göre, Baig Ocak ayında İş Sağlığı ve Güvenliği İdaresi'ne başvurarak güvenlik sorunlarını açıkladıktan sonra yaşadığı "sistematik intikam" durumunu bildirdi. Ertesi ay, Meta Şubat ayındaki işten çıkarmalarında Baig'i işten çıkardı; bu işten çıkarmalar şirketin çalışanlarının %5'ini etkiledi. Dava, Baig'in işten çıkarılma zamanının ve koşullarının, koruma faaliyetleriyle ilgili aldığı bildirimle bağlantılı olduğunu iddia ediyor. Avukatı, Baig'in Pazartesi günü SEC ile ilgili talepleri federal mahkemeye aktardığını ve tüm idari tazminat yollarını aradığını belirtti.