کارمند سابق متا نقص‌های امنیتی واتس‌اپ را افشا کرد

عطاالله بیگ، مدیر هندی-آمریکایی و سابق امنیت واتس‌اپ، در شکایت‌نامه خود ادعا کرده است که پس از اطلاع‌رسانی به مدیران ارشد این شرکت، از جمله مارک زاکربرگ، در مورد آسیب‌پذیری‌های امنیتی موجود در این پیام‌رسان، هدف اقدامات تلافی‌جویانه قرار گرفته است. این شکایت که روز دوشنبه در دادگاه منطقه‌ای ایالات متحده برای ناحیه شمالی کالیفرنیا ثبت شد، بیان می‌کند که بیگ پس از پیوستن به واتس‌اپ در سال ۲۰۲۱، نقص‌هایی را شناسایی کرده که قوانین فدرال اوراق بهادار و همچنین تعهدات قانونی متا در توافق‌نامه حریم خصوصی سال ۲۰۲۰ با کمیسیون تجارت فدرال را نقض می‌کند.

بر اساس این دادخواست، بیگ در آزمایشی که با تیم امنیت مرکزی متا انجام داده، دریافته است که حدود ۱۵۰۰ مهندس واتس‌اپ به داده‌های کاربران، از جمله اطلاعات شخصی حساس، دسترسی نامحدود داشته‌اند. او همچنین ادعا کرده است که این کارمندان می‌توانستند چنین داده‌هایی را بدون شناسایی یا ثبت در سوابق بازرسی، منتقل کرده یا به سرقت ببرند. این شکایت‌نامه مشخص نکرده است که آیا داده‌های کاربری در عمل به خطر افتاده‌اند یا خیر، اما تأکید دارد که بیگ بار‌ها به مدیران خود اطلاع داده بود که این نقص‌های امنیتی، ریسک عدم انطباق با مقررات را به همراه دارد.

در مقابل، سخنگوی شرکت متا در بیانیه‌ای این اتهامات را رد کرده و نقش و رتبه بیگ در شرکت را کم‌اهمیت جلوه داده است. وی در این بیانیه نوشت: «متأسفانه این یک سناریوی تکراری است که در آن یک کارمند سابق به دلیل عملکرد ضعیف اخراج می‌شود و سپس با ادعا‌های تحریف‌شده که تلاش‌های مستمر تیم ما را نادرست جلوه می‌دهد، موضوع را رسانه‌ای می‌کند. امنیت فضایی چالش‌برانگیز است و ما به سابقه قدرتمند خود در حفاظت از حریم خصوصی افراد افتخار می‌کنیم.»

به گزارش CNBC، وکلای بیگ در دادخواست ذکر کرده‌اند که تنها سه روز پس از اولین افشاگری در مورد امنیت سایبری، او شروع به دریافت بازخورد‌های منفی در مورد عملکرد خود کرده است. از جمله دیگر نقص‌های امنیتی ادعاشده می‌توان به عدم وجود یک مرکز عملیات امنیت ۲۴ ساعته متناسب با اندازه و مقیاس واتس‌اپ، فقدان سیستم‌هایی برای نظارت بر دسترسی به داده‌های کاربران و نبود «فهرستی جامع از سیستم‌های ذخیره‌کننده داده‌های کاربران» اشاره کرد که مانع از حفاظت مناسب و افشای اطلاعات طبق مقررات می‌شود.

بر اساس متن شکایت، بیگ در ماه نوامبر، کمیسیون بورس و اوراق بهادار را از نقص‌های امنیت سایبری و عدم اطلاع‌رسانی به سرمایه‌گذاران در مورد ریسک‌های امنیتی مهم مطلع کرد. یک ماه بعد، او دومین نامه خود را برای زاکربرگ ارسال و به مدیرعامل متا اطلاع داد که شکایتی را در SEC ثبت کرده و خواستار اقدام فوری برای رسیدگی به هر دو مورد، یعنی نقص در انطباق با مقررات و اقدامات تلافی‌جویانه غیرقانونی است.

در ماه ژانویه، بیگ شکایتی را در اداره ایمنی و بهداشت شغلی ثبت و اقدامات تلافی‌جویانه سیستماتیک را که به ادعای او پس از افشاگری‌های امنیتی دریافت کرده بود، مستند کرد. شرکت متا اعلام کرده است که شکایت OSHA رد شده است. در ماه فوریه، متا به بهانه عملکرد ضعیف و در بخشی از دور تعدیل نیروی این شرکت که ۵ درصد از کارکنان را تحت تأثیر قرار داد، بیگ را اخراج کرد.

در دادخواست آمده است: «زمان‌بندی و شرایط خاتمه همکاری آقای بیگ، ارتباط واضحی را با فعالیت‌های محافظت‌شده او نشان می‌دهد؛ این اتفاق در فاصله زمانی کوتاهی پس از ثبت شکایات قانونی او در نهاد‌های نظارتی رخ داده و نقطه اوج بیش از دو سال اقدامات تلافی‌جویانه سیستماتیک در پاسخ به افشاگری‌های امنیت سایبری و حمایت او از انطباق با قوانین فدرال و دستورات نظارتی است.»

وکلای او روز دوشنبه اعلام کردند که او پیش از طرح این دعوی، تمام مراحل اداری لازم را طی کرده است.