O ex-chefe de segurança do WhatsApp entrou com uma ação judicial na segunda-feira (8), acusando a Meta de ignorar falhas graves de segurança e privacidade que colocam em risco bilhões de usuários do aplicativo de mensagens, a mais recente de uma série de denúncias contra a gigante das mídias sociais.
Na ação movida no Tribunal Distrital dos Estados Unidos para o Distrito Norte da Califórnia, Attaullah Baig alegou que milhares de funcionários do WhatsApp e da Meta poderiam ter acesso a dados privados dos usuários, incluindo fotos de perfil, localização, participação em grupos e listas de contatos. A Meta, proprietária do WhatsApp, também não teria conseguido lidar adequadamente com a violação de mais de 100 mil contas por dia e rejeitou suas propostas de correções de segurança, de acordo com a ação.
Baig tentou alertar os principais líderes da Meta, incluindo seu CEO, Mark Zuckerberg, que os usuários estavam sendo prejudicados pelas falhas de segurança, de acordo com o processo. Em resposta, seus gerentes retaliaram e o demitiram em fevereiro, alega ele.
Baig, que é representado pela organização de denúncias Psst.org e pelo escritório de advocacia Schonbrun, Seplow, Harris, Hoffman & Zeldes, argumentou no processo que as ações violaram um acordo de privacidade que a Meta firmou com a Comissão Federal de Comércio em 2019, bem como as leis do mercado financeiro que exigem que as empresas divulguem os riscos aos acionistas.
“São tantos os danos que os usuários enfrentam”, disse Baig em entrevista na semana passada, acrescentando que também alertou a FTC e a Comissão de Valores Mobiliários (SEC) sobre suas preocupações. “Trata-se de responsabilizar a Meta e colocar os interesses dos usuários em primeiro lugar.”
A Meta rebateu suas alegações. “Infelizmente, esse é um cenário familiar em que um ex-funcionário é demitido por mau desempenho e depois divulga publicamente alegações distorcidas que deturpam o trabalho árduo de nossa equipe”, disse Carl Woog, porta-voz do WhatsApp. “A segurança é um espaço adverso, e nos orgulhamos de construir nosso forte histórico de proteção da privacidade das pessoas.”
Em 2019, a empresa, então conhecida como Facebook, concordou em pagar uma multa de US$ 5 bilhões e reforçar suas políticas de privacidade para resolver as acusações de que havia lidado indevidamente com as informações dos usuários ao permitir que uma empresa britânica de consultoria política, a Cambridge Analytica, coletasse dados sem permissão.
“A privacidade é mais importante do que nunca para nossa visão do futuro”, disse Zuckerberg em uma reunião com toda a empresa após o anúncio do acordo com a FTC. “E vamos mudar a forma como operamos em toda a empresa, desde a liderança até a base. Vamos mudar a forma como criamos produtos e, se não o fizermos, seremos responsabilizados por isso.”
Baig é o mais recente denunciante a acusar a Meta — que também é proprietária do Facebook e do Instagram — de irregularidades relacionadas à privacidade, segurança infantil e disseminação de desinformação em suas principais plataformas.
Na segunda-feira, outra organização de denúncias, a Whistleblower Aid, afirmou que seis ex-funcionários e funcionários atuais da Meta revelaram ao Congresso e aos reguladores federais que a empresa colocava crianças em risco em seus produtos de realidade virtual. Dois dos ex-funcionários planejam testemunhar na terça-feira, 16, em uma audiência no Senado sobre segurança infantil. Eles pretendem dizer que a Meta excluiu ou adulterou pesquisas internas de segurança de crianças de até 10 anos que foram expostas a abuso sexual, assédio sexual e violência na plataforma de realidade virtual da empresa, de acordo com a Whistleblower Aid.
A Meta disse que essas alegações eram “absurdas” e baseadas em “documentos internos vazados seletivamente, escolhidos especificamente para criar uma narrativa falsa”.
Em março, Sarah Wynn Williams, ex-líder de política global, publicou um livro, “Careless People”, que descreve uma série de alegações incendiárias de assédio sexual e outros comportamentos inadequados por parte de executivos seniores. A Meta obteve uma vitória judicial bloqueando a promoção do livro e negou as alegações nele detalhadas.
E, no final de 2021, Frances Haugen, outra ex-funcionária, testemunhou perante o Congresso que a empresa havia criado conscientemente produtos que prejudicavam adolescentes, entre outras questões de segurança, apresentando milhares de páginas de documentos internos para apoiar suas alegações.
O vice-presidente de políticas públicas da Meta na época, Nick Clegg, disse que as acusações dela eram “enganosas”. Ele afirmou que a plataforma refletia “o bom, o ruim e o feio da humanidade” e que estava tentando “mitigar o ruim, reduzi-lo e amplificar o bom”.
A Meta comprou o WhatsApp em 2014 por US$ 19 bilhões. Muitos de seus três bilhões de usuários recorrem ao aplicativo por seus benefícios de segurança percebidos, incluindo criptografia, que codifica as mensagens para que possam ser decifradas apenas pelo remetente e pelo destinatário pretendido.
Em junho, o WhatsApp revelou anúncios em algumas partes do aplicativo, uma medida que incluía o compartilhamento opcional de dados que alguns usuários disseram estar em desacordo com sua filosofia de longa data em relação à privacidade.
Baig ingressou no WhatsApp em janeiro de 2021 como chefe de segurança. Logo depois, ele conduziu um exercício de “equipe vermelha”, no qual os funcionários se passavam por invasores tentando explorar o serviço, de acordo com o processo. Aproximadamente 1,5 mil funcionários do WhatsApp tinham acesso irrestrito a dados confidenciais dos usuários, o que constituía uma violação do acordo de privacidade de 2020 da empresa com a FTC, de acordo com o processo.
Como parte do acordo com a FTC, a Meta concordou em adotar práticas de privacidade mais rígidas, que incluíam auditorias independentes regulares de seus sistemas, limitação do compartilhamento de dados e implementação de um programa de segurança de dados claro e abrangente para seus aplicativos.
Por mais de um ano, Baig tentou repetidamente levantar a questão com seu supervisor, de acordo com o processo, mas foi instruído a “se concentrar em tarefas menos críticas de segurança de aplicativos”.
Em outubro de 2022, Baig documentou uma lista de “problemas críticos de segurança cibernética” que ele considerava violarem a ordem da FTC e as leis de valores mobiliários, de acordo com o processo. A Meta não estava lidando com o hacking de contas e não estava acompanhando todos os dados que coletava dos usuários do WhatsApp, alega o processo.
“Temos a responsabilidade fiduciária de proteger nossos usuários e seus dados”, escreveu Baig no documento que apresentou aos principais executivos do WhatsApp, de acordo com o processo. “As penalidades podem ser severas, tanto em termos de danos à marca quanto de multas.”
A Meta bloqueou várias iniciativas de segurança da equipe de Baig, de acordo com o processo, incluindo um recurso proposto que exigia aprovação adicional de login para recuperação de conta e outro que impedia o download de fotos de perfil do serviço.
Em uma entrevista, Baig disse que todos os dias sua equipe via “danos reais acontecendo no mundo real”, como “comprometimento de contas, falsificação de identidade e jornalistas sendo alvos”.
Em dezembro, Baig informou a Zuckerberg que havia apresentado uma queixa à SEC afirmando que a empresa não havia informado os investidores sobre os riscos de segurança cibernética, de acordo com o processo.
Os gerentes de Baig retaliaram com ameaças de demissão e retenção de remuneração, alega o processo. Suas avaliações de desempenho tornaram-se mais negativas e, em fevereiro, ele foi demitido.
Baig apresentou uma queixa à Administração de Segurança e Saúde Ocupacional, em abril, contra a Meta por retaliação contra sua denúncia de problemas de segurança.
Baig disse na entrevista que trabalhar na Meta tinha sido o seu “emprego dos sonhos” devido à dimensão da empresa e à capacidade de resolver problemas que afetavam bilhões de usuários.
Mas agora ele acha que “a Meta trata seus usuários como se fossem apenas números em algum painel”, disse ele.
