Колишній співробітник WhatsApp Аттаулла Баіг подав позов до Meta, стверджуючи, що його звільнення у лютому 2025 року сталося після неодноразових спроб привернути увагу керівництва до системних проблем кібербезпеки. Позов подано за законом Сарбейнса‑Окслі (SOX), який захищає викривачів, що повідомляють про можливе введення акціонерів в оману та порушення правил SEC.
Суть позову: широкі інженерні доступи та ризики для конфіденційності
За словами Баига, який працював у WhatsApp з 2021 року та раніше обіймав посади у PayPal і Capital One, він виявив системні вади контролю доступу, що створювали істотні ризики для даних користувачів і могли суперечити Постанові про конфіденційність 2020 року, чинній щодо Meta. Ключова претензія — близько 1500 інженерів мали розширені права на доступ до чутливої інформації з недостатнім журналюванням і обмеженою можливістю аудиту, що нібито дозволяло копіювання та ексфільтрацію даних.
Баіг стверджує, що підіймав ці питання на внутрішніх зустрічах у 2022–2023 роках, інформував керівників WhatsApp, зокрема CEO Вілла Кеткарта та провідного інженера Нітіна Гупту, а на початку 2024 року звернувся до Марка Цукерберга та генерального юриста Дженніфер Ньюстед. Також він повідомляв SEC про можливі порушення й заявляє про фальсифікацію внутрішніх звітів для заниження ризиків.
Позиція Meta та рішення OSHA
Meta заперечує звинувачення. Компанія зазначає, що Баіг не очолював безпеку WhatsApp, а був менеджером з розробки ПЗ з декількома рівнями підпорядкування. Рішення про звільнення, за даними Meta, зумовлено незадовільними результатами, що їх засвідчили кілька незалежних старших інженерів. Директор з комунікацій Енді Стоун назвав ситуацію «знайомим сценарієм, коли співробітник, звільнений за низьку ефективність, робить викривлені заяви, применшуючи роботу команди».
Міністерство праці США раніше вже відхилило скаргу Баига: Управління з охорони праці (OSHA) не виявило ознак переслідування викривача і не визнало його дії захищеними в межах SOX. Це рішення не визначає результат цивільного процесу, але задає важливий контекст для суду присяжних.
Правовий контекст: SOX і нові вимоги SEC до кіберрозкриття
SOX захищає співробітників, які добросовісно повідомляють про підозри у шахрайстві з цінними паперами або порушення внутрішнього контролю. Для успіху позову потрібно довести захищену активність, обізнаність роботодавця, несприятливе кадрове рішення та причинно-наслідковий зв’язок. Додатково, з 2023 року SEC вимагає розкривати суттєві кібератаки і описувати процеси керування кіберризиками у публічних компаній, що посилює увагу до контролів доступу, журналювання й управлюваності ризиків.
Експертний аналіз: інсайдерський доступ у сервісах з E2EE
Навіть за наскрізного шифрування (E2EE), як у WhatsApp, метадані, телеметрія та службові журнали часто доступніші за контент повідомлень і можуть розкривати чутливі патерни поведінки. Модель «широких прав для великої кількості інженерів» суперечить принципу найменших привілеїв і підходам Zero Trust. Інцидент із компрометацією внутрішніх інструментів Twitter у 2020 році, а також атаки на адмін‑панелі інших технологічних компаній демонструють, що надлишкові доступи й слабкий аудит стають критичними факторами ризику.
Галузеві огляди, зокрема щорічний звіт Verizon DBIR, стабільно відзначають суттєву частку інцидентів, пов’язаних із зловживанням легітимними обліковими даними та діяльністю внутрішніх користувачів. Це підкреслює потребу у тонкій грануляції прав, JIT‑доступі, незмінюваному журналюванні та регулярній переатестації доступів на великих платформах.
Практики кібербезпеки: як обмежити і контролювати доступ до даних
Контроль доступу та розмежування ролей
Комбінуйте RBAC/ABAC, сегрегацію обов’язків і «break‑glass» сценарії з підвищеним моніторингом та короткочасними дозволами. Впроваджуйте JIT‑надання доступів із затвердженням за принципом «двох пар очей».
Захист даних і спостережність
Застосовуйте токенізацію та мінімізацію PII, DLP‑рішення для виявлення ексфільтрації, а також суцільне журналювання з захистом від підміни (WORM‑сховище, криптографічна фіксація). Забезпечте кореляцію подій у SIEM із поведінковою аналітикою.
Говернанс і відповідність
Проводьте незалежні аудити контролів, періодичну переатестацію прав і регулярну звітність раді директорів. Переконайтеся, що канали для викривачів працюють ефективно, а повідомлення документуються та ескалюються за формалізованою процедурою — це знижує юридичні ризики за SOX і допомагає виконувати вимоги SEC.
Справу Баига проти Meta ще розглянуть у суді, тому остаточні висновки робити зарано. Водночас організаціям варто вже зараз переглянути інженерні доступи, посилити моніторинг операцій із персональними даними та перевірити дієвість механізмів для викривачів. Це не лише зменшує ймовірність інцидентів і претензій регуляторів, а й зміцнює довіру користувачів до сервісу. Заплануйте внутрішню перевірку доступів протягом найближчих 30 днів і зафіксуйте план усунення виявлених прогалин.
