Аттаулла Баиг (Attaullah Baig), якобы возглавлявший службу безопасности WhatsApp с 2021 по 2025 год, подал в суд на материнскую компанию Meta (организация признана экстремистской и запрещена на территории РФ). Баиг утверждает, что его уволили за неоднократные попытки решить серьезные проблемы кибербезопасности мессенджера.
Баиг подал иск в соответствии с законом Сарбейнса-Оксли, в связи с сокрытием проблем безопасности, которые могут быть связаны с потенциальным мошенничеством со стороны акционеров, а также вероятными нарушениями правил Комиссии по ценным бумагам и биржам США (SEC), касающихся внутренних систем контроля информации.
В иске бывший сотрудник WhatsApp (ранее занимавший связанные с кибербезопасностью должности в PayPal и Capital One) утверждает, что руководство WhatsApp незаконно добилось его увольнения, исказив оценку его работы и использовав это как предлог для расторжения договора.
Документы гласят, что вскоре после прихода в WhatsApp в 2021 году Баиг «обнаружил системные проблемы в кибербезопасности, которые создавали серьезные риски для пользовательских данных и нарушали юридические обязательства Meta в рамках Постановления о конфиденциальности от 2020 года и федеральных законов о ценных бумагах».
Баиг утверждает, что примерно 1500 инженеров WhatsApp имели неограниченный доступ к конфиденциальным персональным данным пользователей, могли копировать и похищать их без обнаружения и возможности аудита.
Сообщается, что 8 сентября 2022 года Баиг поднял на рабочем собрании вопрос о следующих нарушениях:
- невозможность инвентаризации пользовательских данных;
- невозможность локализовать и перечислить хранилища данных;
- неограниченный доступ к пользовательским данным, который имели 1500 инженеров-программистов;
- отсутствие контроля доступа к данным пользователей;
- невозможность обнаружить утечки данных;
- неспособность защитить аккаунты пользователей от захвата (якобы таких случаев насчитывалось около 100 000 в день).
В октябре 2022 года Баиг якобы уведомил о проблемах десять топ-менеджеров WhatsApp, включая CEO Уилла Кэткарта (Will Cathcart) и ведущего инженера Нитина Гупту (Nitin Gupta), предупредив, что компания может столкнуться с юридическими последствиями.
Баиг утверждает, что в 2023 году пытался выразить свои опасения, однако сталкивался с сопротивлением со стороны менеджеров. После этого, в начале 2024 года, он якобы отправил письмо CEO Meta Марку Цукербергу (Mark Zuckerberg) и главному юристу Дженнифер Ньюстед (Jennifer Newstead), уведомив их о потенциальных нарушениях, встреченном противодействии и «доказательствах того, что команда безопасности фальсифицировала отчеты, чтобы прикрыть свои решения и не устранять риски хищения данных».
В феврале 2025 года Баига уволили из компании. Якобы это произошло через несколько месяцев после того, как он лично уведомил Комиссию по ценным бумагам и биржам США о предполагаемых нарушениях кибербезопасности в Meta.
Теперь Баиг требует суда присяжных и хочет, чтобы Meta восстановила его в должности, а также выплатила задолженность по зарплате и компенсировала судебные расходы, моральный ущерб и причиненные страдания.
Однако, как сообщили СМИ представители Meta, на самом деле Баиг вообще не работал «руководителем службы безопасности» WhatsApp и занимал должность менеджера по разработке ПО, а над ним было несколько руководителей высшего звена. Согласно заявлениям компании, несколько старших инженеров независимо определили, что его работа не отвечает ожиданиям компании, что и послужило поводом для увольнения.
«К сожалению, это знакомый сценарий, когда сотрудника увольняют за плохую производительность, а затем он выступает с искаженными заявлениями, которые принижают суть упорной работы нашей команды», — комментирует Энди Стоун (Andy Stone), директор по коммуникациям Meta.
Кроме того, согласно документам, предоставленным компанией изданию SecurityWeek, ранее Министерство труда США уже отклонило жалобу Баига. Управление по охране труда (OSHA) пришло к выводу, что Meta не преследовала сотрудника, который пытался обратить внимание на проблемы безопасности. Также, судя по документам, Министерство труда определило, что действия Баига не признаны обоснованными в рамках закона Сарбейнса-Оксли.
