Ex-funcionário da Meta processa a empresa por falhas de segurança
Um ex-funcionário da Meta entrou com um processo contra a empresa na segunda-feira, alegando que o serviço de mensagens WhatsApp continha "falhas de segurança cibernética sistêmicas" que comprometeriam a privacidade dos usuários.
Ação Judicial e Acusações
Attaullah Baig, que foi o chefe de segurança do WhatsApp, alegou que a Meta retaliou contra ele após ele ter notificado os líderes da empresa, incluindo o CEO Mark Zuckerberg, sobre problemas de segurança no aplicativo de mensagens.
O processo foi apresentado no Tribunal Distrital dos Estados Unidos para o Distrito Norte da Califórnia e afirma que, após ingressar no WhatsApp em 2021, Baig identificou falhas de segurança que violavam as leis federais de valores mobiliários, além das obrigações legais da Meta em relação a um acordo de privacidade firmado com a Comissão Federal de Comércio (FTC) em 2020.
Durante um teste realizado com a equipe de segurança central da Meta, Baig alegou que "descobriu que aproximadamente 1.500 engenheiros do WhatsApp tinham acesso irrestrito a dados de usuários, incluindo informações pessoais sensíveis", e que esses funcionários "poderiam mover ou roubar tais dados sem detecção ou trilha de auditoria".
Resposta da Meta
Um porta-voz da Meta contestou as alegações de Baig em uma declaração e minimizou seu papel e classificação dentro da empresa. O porta-voz afirmou: "Infelizmente, este é um roteiro familiar, onde um ex-funcionário é demitido por desempenho insatisfatório e, em seguida, torna-se público com alegações distorcidas que desfiguram o trabalho árduo que nossa equipe realiza constantemente." O porta-voz também destacou: "A segurança é um espaço adversarial, e temos orgulho de nosso forte histórico na proteção da privacidade das pessoas."
Representação Legal
Baig está sendo representado pela organização de denúncias Psst.org e pelo escritório de advocacia Schonbrun, Seplow, Harris, Hoffman e Zeldes.
Embora o processo não afirme que dados dos usuários foram comprometidos, ele menciona que Baig alertou seus superiores em várias ocasiões de que as falhas cibernéticas apresentavam riscos à conformidade regulatória. Entre as falhas de segurança mencionadas, o documento destaca a falta de um centro de operações de segurança disponível 24 horas que fosse adequado ao tamanho e à escala da empresa, sistemas para monitorar o acesso aos dados dos usuários e um "inventário abrangente dos sistemas que armazenam dados de usuários, o que impediu a proteção adequada e a divulgação regulatória".
Críticas e Retaliação
Os advogados de Baig afirmam no processo que houve várias ocasiões em que seus superiores criticaram seu trabalho e que, dentro de três dias após sua primeira "divulgação sobre segurança cibernética", ele começou a receber "feedback negativo sobre seu desempenho".
Em novembro, Baig informou à Comissão de Valores Mobiliários (SEC) sobre as supostas "deficiências de segurança cibernética e a falha em informar investidores sobre riscos materiais de segurança cibernética", de acordo com o processo. Um mês depois, Baig enviou a Zuckerberg a segunda de duas cartas, informando ao CEO que "havia apresentado uma reclamação à SEC" e que estava "solicitando ações imediatas para abordar tanto as falhas de conformidade subjacentes quanto a retaliação ilegal".
Em janeiro, Baig registrou uma reclamação junto à Administração de Segurança e Saúde Ocupacional, documentando "a retaliação sistêmica" que, segundo ele, ocorreu após suas divulgações sobre segurança, como detalhado na ação judicial.
Demissão e Alegações Finais
No mês seguinte, a reclamação afirma que a Meta demitiu Baig, citando "desempenho insatisfatório" como parte da rodada de demissões em fevereiro, que afetou 5% da equipe.
O processo destaca: "O tempo e as circunstâncias da demissão do Sr. Baig estabelecem uma clara conexão causal com sua atividade protegida, ocorrendo em estreita proximidade temporal com suas apresentações regulatórias externas e representando a culminação de mais de dois anos de retaliação sistêmica por suas divulgações sobre segurança cibernética e defesa pela conformidade com a lei federal e ordens regulatórias."
Os advogados de Baig informaram que ele apresentou um aviso para remover suas alegações relacionadas à SEC para o tribunal federal na segunda-feira, afirmando que ele "exauriu seus recursos administrativos antes de trazer esta ação".
