Бывший сотрудник WhatsApp Аттаулла Баиг подал иск к материнской компании Meta (организация признана экстремистской и запрещена на территории РФ), утверждая, что его увольнение в феврале 2025 года последовало после неоднократных попыток привлечь внимание руководства к системным проблемам кибербезопасности. Иск подан по закону Сарбейнса‑Оксли, который защищает информаторов, сообщающих о потенциальном введении в заблуждение акционеров и нарушениях правил SEC.
Суть иска: неограниченный доступ и риски для конфиденциальности
По словам Баига, работавшего в WhatsApp с 2021 года и ранее занимавшего роли в PayPal и Capital One, он обнаружил системные изъяны, которые «создавали существенные риски для пользовательских данных» и могли противоречить Постановлению о конфиденциальности 2020 года, действующему в отношении Meta. Среди ключевых претензий — утверждение, что порядка 1500 инженеров имели широкие права доступа к конфиденциальным данным пользователей, что позволило бы копировать и эксфильтровать их без достаточного журналирования и возможности аудита.
Баиг заявляет, что поднимал эти вопросы на внутренних встречах в 2022–2023 годах, уведомлял топ-менеджеров WhatsApp, включая CEO Уилла Кэткарта и ведущего инженера Нитина Гупту, а в начале 2024 года отправил обращение Марку Цукербергу и главному юристу компании Дженнифер Ньюстед. Он также утверждает, что информировал SEC о предполагаемых нарушениях и сталкивался с внутренним сопротивлением, включая фальсификацию отчетов для маскировки рисков.
Позиция Meta и итоги проверки OSHA
Meta отвергает обвинения. По заявлению компании, Баиг не возглавлял службу безопасности WhatsApp, а работал менеджером по разработке ПО и имел над собой несколько уровней руководителей. Решение об увольнении, по данным Meta, было обусловлено неудовлетворительной результативностью, определенной несколькими независимыми старшими инженерами. Директор по коммуникациям Энди Стоун заявил, что это «знакомый сценарий, когда сотрудник, уволенный за низкую эффективность, делает искаженные заявления, умаляя работу команды».
Согласно документам, предоставленным СМИ, Министерство труда США ранее уже отклонило жалобу Баига: Управление по охране труда (OSHA) не нашло признаков преследования информатора и не признало его действия защищенными в рамках закона Сарбейнса‑Оксли. Это решение не предопределяет исход гражданского процесса, но формирует важный контекст для суда присяжных.
Юридический контекст: закон Сарбейнса‑Оксли и правила SEC
Закон Сарбейнса‑Оксли (SOX) предусматривает защиту сотрудников, сообщающих о потенциальном мошенничестве с ценными бумагами и нарушениях внутреннего контроля. Для успешного иска необходимо показать защищенную активность, осведомленность работодателя, неблагоприятное кадровое решение и причинно‑следственную связь. Дополнительно, с 2023 года SEC требует раскрытия существенных киберинцидентов и описания процессов управления киберрисками для публичных компаний — это усиливает внимание к вопросам внутреннего контроля доступа, журналирования и управляемости рисков.
Экспертный разбор: риск инсайдерского доступа в мессенджерах
Даже в системах с сквозным шифрованием (E2EE), как в WhatsApp, метаданные и служебные журналы остаются критически важными и часто более доступными, чем контент сообщений. С точки зрения лучших практик, описанная в иске модель «широких прав для большого числа инженеров» противоречит принципу наименьших привилегий и современным подходам Zero Trust. Инциденты последних лет — от компрометации внутренних инструментов Twitter в 2020 году до атак на административные панели в других технологических компаниях — подчеркивают, что избыточный доступ и слабый аудит часто становятся ключевыми факторами риска.
Исследования отрасли, включая ежегодные отчеты по утечкам, неизменно отмечают значимую долю инцидентов с участием внутренних пользователей и злоупотреблением легитимными правами. Это делает тонкую грануляцию полномочий, JIT‑доступ, неизменяемое журналирование и периодическую переаттестацию прав обязательными элементами защитной архитектуры крупных платформ.
Практики кибербезопасности: как ограничить доступ к данным
Компании, обрабатывающие чувствительные данные, обычно используют комбинацию RBAC/ABAC, сегрегацию обязанностей, «break‑glass» сценарии с повышенным контролем, токенизацию PII, DLP‑решения и повсеместное мониторинг‑журналирование с защитой от подмены. Валидация этих контролей независимыми аудитами и регулярная отчетность совету директоров помогают соответствовать регуляторным ожиданиям и снижать юридические риски, включая возможные претензии по SOX и требованиям SEC.
Судебное разбирательство по иску Баига к Meta еще впереди, и окончательные выводы будет делать суд. Однако уже сейчас организациям стоит провести ревизию инженерных доступов, усилить мониторинг операций с персональными данными и проверить эффективность каналов для обращения информаторов. Это не только снижает вероятность инцидентов и претензий регуляторов, но и укрепляет доверие пользователей к сервису.
