Meta, son bir yıldır WhatsApp’ın güvenliğini ve gizliliğini öne çıkaran reklam kampanyalarıyla dikkat çekiyordu. Ancak şirketin eski güvenlik şefi, açtığı dava ile çok farklı bir tablo ortaya koydu.

Meta, dünya genelinde televizyonlarda yayınlanan reklamlarında WhatsApp’ın uçtan uca şifreleme özelliğine vurgu yaptı. Kampanyalarda “Kimse mesajlarınıza ulaşamaz, biz bile” mesajı öne çıkarıldı.

“Ciddi güvenlik açıkları var”

Buna karşın, WhatsApp’ın eski güvenlik şefi Attaullah Baig, ABD’de açtığı davada önemli iddialarda bulundu. Baig, 2021’de göreve başladığında sistematik siber güvenlik açıkları keşfettiğini söyledi.
Red-team testlerinde, yaklaşık 1.500 mühendisinin kullanıcı verilerine sınırsız erişim hakkı bulunduğunu ve bu bilgilerin iz bırakmadan taşınabileceğini tespit ettiğini iddia etti.

FTC anlaşmasının ihlali iddiası

Baig’e göre bu durum, Meta’nın 2019’da Federal Ticaret Komisyonu (FTC) ile imzaladığı 5 milyar dolarlık gizlilik anlaşmasına aykırıydı. Yetkililere rapor sunan Baig, veri sınıflandırma ve erişim kontrollerinin güçlendirilmesi gerektiğini belirtti ancak önerilerinin Meta tarafından görmezden gelindiğini söyledi.

Zuckerberg’e uyarı mektubu

Baig, 2022’de Meta CEO’su Mark Zuckerberg’e ve üst düzey yöneticilere ayrıntılı bir mektup gönderdiğini aktardı. Mektupta, FTC anlaşmasının ihlal edildiğini ve şirketin güvenlik açıklarını bildirmemekle suçlanabileceğini yazdı. Ayrıca Meta’nın güvenlik raporlarını manipüle ederek veri sızıntısı risklerini gizlediğini öne sürdü.

Dava dosyasına göre 2022’de her gün yaklaşık 100.000 WhatsApp hesabı ele geçirildi. 2023’te bu sayı 400.000’e kadar çıktı. Kullanıcıların hesaplarına erişimin engellenmesi, platformda güvenlik zafiyetlerini daha görünür hale getirdi.

Profil bilgileri kopyalanıyor

Baig ayrıca WhatsApp’ın, Signal ve Apple iMessage gibi rakiplerinde bulunan güvenlik önlemlerini uygulamadığını söyledi. Bu nedenle her gün yaklaşık 400 milyon kullanıcının profil fotoğrafı ve isminin kopyalandığını, bu bilgilerin dolandırıcılık amaçlı kullanıldığını belirtti. Baig, kullanıcı profillerinin yalnızca ortak gruplarda, mesajlaşma geçmişi olan kişiler veya rehberde kayıtlı numaralar tarafından görülebilmesi gerektiğini savundu.

Meta’dan sert yanıt

Meta ise tüm iddiaları reddetti. Şirket, Baig’in düşük performans nedeniyle işten çıkarıldığını, iddialarının gerçeği yansıtmadığını ve zaten halihazırda üzerinde çalışılan konuları tekrar gündeme getirdiğini savundu. WhatsApp temsilcileri, “Güvenlik en öncelikli alanımızdır. Farklı görüşler ve tartışmalarla güvenlik sistemimizi sürekli geliştiriyoruz” açıklamasında bulundu.