Fost director WhatsApp: Meta m-a concediat pentru că am semnalat probleme de securitate severe

Fostul director de securitate al WhatsApp, Attaullah Baig, a intentat un proces împotriva Meta și a mai multor directori de top din companie, acuzându-i de represalii după ce a tras semnale de alarmă cu privire la grave deficiențe legate de securitate cibernetică.

Pe 8 septembrie 2025, Baig a depus o plângere federală la în Californiei. El susține că Meta și directorii săi l-au pedepsit pentru că a expus deficiențe de securitate. El solicită reintegrarea, plata retroactivă a salariilor, despăgubiri pentru stres emoțional și cheltuieli de judecată.

Baig s-a alăturat WhatsApp în septembrie 2021. La doar câteva săptămâni după angajare, a condus un exercițiu de tip Red Team cu echipa de securitate al Meta. Testul a scos la iveală probleme grave.

De exemplu, aproximativ 1.500 de ingineri WhatsApp aveau acces nerestricționat la datele utilizatorilor, iar Baig susține că acești ingineri puteau muta sau fura datele fără a fi detectați și fără a lăsa urme.

În urma acestor constatări, el și-a avertizat în mod repetat superiorii că WhatsApp nu avea nici măcar un inventar de bază al datelor colectate de la utilizatori, al localizării acestora și al persoanelor care puteau să le acceseze.

Escaladare către directorii de top din companie

Baig și-a prezentat îngrijorările superiorilor în august 2022, după ce două incidente de securitate au afectat utilizatorii WhatsApp. El i-a explicat situația lui Will Cathcart, vicepreședinte și șef al WhatsApp, menționând că doar zece ingineri lucrau pe securitate, în timp ce alte companii cu produse similare aveau în jur de două sute.

Baig a pregătit un raport detaliat în care a semnalat șase deficiențe critice:

Neinventarierea datelor utilizatorilor

• WhatsApp nu avea o listă completă a datelor colectate de la utilizatori, încălcând cerințele de transparență prevăzute de CCPA, GDPR și Ordinul de Confidențialitate al FTC din 2020.

Nelocalizarea sistemelor de stocare a datelor

• Compania nu avea un inventar al sistemelor în care erau stocate datele utilizatorilor, ceea ce împiedica protecția adecvată și raportarea problemelor.

Acces nerestricționat la date

• Aproximativ 1.500 de ingineri aveau acces nelimitat la „Informații Protejate” (date personale acoperite de Ordinul de Confidențialitate al FTC) fără o nevoie documentată.

Lipsa monitorizării accesului

• Nu existau sisteme care să monitorizeze cine accesa datele utilizatorilor, ceea ce făcea imposibilă detectarea activităților suspecte.

Incapacitatea de a detecta breșele de securitate

• WhatsApp nu avea un Centru de Operațiuni de Securitate disponibil 24/7, standard pentru companii de dimensiuni similare. Astfel, compania nu putea identifica sau opri rapid breșele de securitate.

Compromiterea zilnică masivă a conturilor

• Aproximativ 100.000 de utilizatori WhatsApp își pierdeau zilnic conturile în urma atacurilor de preluare, expunând informații sensibile.

„Avem o responsabilitate fiduciară de a ne proteja utilizatorii și datele lor. Sancțiunile pot fi severe atât în ceea ce privește daunele de imagine, cât și amenzile”, avertiza Baig în acel document.

Presiuni crescânde și represalii

Potrivit plângerii, managerii Meta au răspuns cu o campanie de represalii. Superiorii i-au dat evaluări negative ale performanței, i-au microgestionat activitatea, au blocat funcții de securitate și l-au acuzat de „probleme de colaborare”.

Baig a mai afirmat că directorii Meta au retras unul dintre cele mai importante proiecte ale sale, funcția de Recuperare Post-Compromitere, care ajuta zilnic aproximativ 25.000 de utilizatori să își recupereze conturile pierdute.

De asemenea, el susține că managerii i-au refuzat acțiuni în valoare de 600.000 de dolari, i-au blocat două cereri de brevet și, în cele din urmă, l-au lipsit de responsabilități.

În cele din urmă, Baig a apelat la autoritățile externe la sfârșitul anului 2024 și a depus o plângere confidențială ca avertizor de integritate (whistleblower) la SEC pe 27 noiembrie 2024.

O săptămână mai târziu, i-a scris CEO-ului Mark Zuckerberg: „Cred că lipsește ceva important din ‘Meta, Metamates, Me’ și, în opinia mea, acesta este lucrul care definește sau distruge compania noastră.”

Baig a depus apoi o plângere și la Departamentul Muncii al SUA – OSHA, pe 17 ianuarie 2025, invocând protecțiile pentru avertizori de integritate. O lună mai târziu, Meta l-a concediat pentru „performanță slabă”.