WhatsApp大漏洞！前資安主管狀告Meta：內部1500人可隨意訪問、移動用戶數據 我通報後被開除

Meta (META-US)遭前資安主管貝格 (Attaullah Baig) 提告，聲稱其 WhatsApp 即時通訊服務存在「系統性網路安全漏洞」，恐危害用戶隱私，且他指控 Meta 在他向內部高層通報安全問題後，對他進行報復。

這起訴訟在美國加州北區地方法院提起，貝格聲稱自 2021 年加入 WhatsApp 以來，他發現的資安缺陷違反了聯邦證券法以及 Meta 在 2020 年與聯邦貿易委員會（FTC）達成的隱私和解協議中的法律義務。

在與 Meta 中央安全團隊進行的一次測試中，貝格表示他「發現大約 1500 名 WhatsApp 工程師可以不受限制地訪問用戶數據，包括敏感的個人信息」，並且這些員工「可以在不被發現或審計線索的情況下移動或竊取這些數據」。

Meta 發言人以聲明駁斥貝格的指控，並淡化其在公司的角色和級別。發言人表示：「令人遺憾的是，這不過是老套的伎倆：一位前員工因業績不佳被解僱，然後公開發表歪曲事實的聲明，誤導視聽。我們團隊一直以來的辛勤工作。資安是充滿對抗的領域，我們為在保護用戶隱私方面擁有良好的記錄而感到自豪。」

貝格由舉報人組織 Psst.org 和 Schönbrun, Seplow, Harris, Hoffman & Zeldes 律師事務所代表。儘管訴訟中並未聲稱任何用戶數據遭到洩露，但訴訟指出，貝格曾多次告知上級，網路安全漏洞構成了監管合規風險。他指出的安全漏洞包括：WhatsApp 未能維護與其規模相符的 24 小時安全運營中心、未能監控用戶數據訪問的系統，以及未能全面清查儲存用戶數據的系統，這對適當保護和監管披露構成危害。

貝格的律師在訴訟中指出，他的上司曾多次批評他的工作，並在他首次「網路安全揭露」後的三天內，他就開始收到「負面績效回饋」。去年 11 月，貝格向美國證券交易委員會（SEC）通報了所謂的「網路安全缺陷以及未能告知投資者重大網路安全風險」。一個月後，貝格發信通知執行長祖克伯，告知他「已向 SEC 提交了投訴」，並要求「立即採取行動，解決潛在的合規違規行為和非法報復」。

今年 1 月，貝格向美國職業安全與健康管理局（OSHA）提交申訴，記錄了他聲稱在安全資訊揭露後遭受的「系統性報復」。

隨後 2 月，Meta 以「表現不佳」為由解雇了貝格，這是該公司裁員 5% 行動中的一環。訴訟指出：「貝格先生被解雇的時間和情況與其受保護的活動存在明顯的因果關係，時間上與他向外部監管機構提交文件的時間非常接近，並且是兩年多來因其網絡安全信息披露而遭受的系統性報復的頂峰。」

貝格的律師表示，他周一已向聯邦法院具狀要求撤回與 SEC 相關的索賠，並且「在提起訴訟之前已用盡所有行政救濟措施」。