Metaは元セキュリティ責任者から訴えられており、同氏は同社がメッセージングプラットフォーム「WhatsApp」にセキュリティ上の脆弱性やプライバシー違反が多発しているという度重なる警告を無視し、これらの懸念を提起したことに対して報復し、最終的に解雇したと主張しています。
アタウッラ・ベイグ氏は2021年から今年4月までMetaのセキュリティ責任者を務めていました。PayPal、Capital One、Whole Foods Marketでもサイバーセキュリティの職を歴任したベイグ氏は、2024年11月22日に口頭で警告を受け、2025年4月11日にMetaから「業績不振」を理由に解雇されたと主張しています。
しかし訴状によれば、実際に解雇された理由は、2021年9月にMetaに入社して間もなく、「ユーザーデータに深刻なリスクをもたらし、2020年の連邦取引委員会(FTC)のプライバシー命令および連邦証券法の下でMetaが連邦政府に対して負う法的義務に違反する体系的なサイバーセキュリティの失敗」を発見したためだとしています。
「Metaの中央セキュリティチームと実施した『レッドチーム演習』を通じて、ベイグ氏は約1,500人のWhatsAppエンジニアがユーザーデータ(FTCプライバシー命令の対象となる機微な個人情報を含む)に無制限にアクセスでき、そのデータを検知や監査記録なしに移動・盗難できることを発見した」と訴状には記されています。
この訴訟は月曜日、カリフォルニア北部地区連邦地方裁判所に提起され、Meta、CEOのマーク・ザッカーバーグ氏、その他4人の幹部が被告として名指しされています。
ベイグ氏によると、彼はその後1年間にわたり5回にわたってMeta幹部に通知を試み、上司に懸念を伝え、同社が収集しているユーザーデータの内容、保存場所や方法、アクセス権限者など、同意命令や連邦プライバシー規制の遵守を不可能にする情報のギャップを指摘しました。
また、2020年の命令により適切に対応するためのデータ分類・管理システムを含む「包括的な製品要件ドキュメント」をMetaのプライバシーチーム向けに作成しました。
しかし、上司は「これらの懸念を一貫して無視し、ベイグ氏に対し、より重要度の低いアプリケーションセキュリティ業務に集中するよう指示した」といいます。
「Metaの文化はカルトのようなもので、特に上位者が承認した過去の仕事については、誰も疑問を呈することができないとベイグ氏は理解していた」と訴状は主張しています。
2022年8月と9月、ベイグ氏は再びMetaおよびWhatsAppの幹部を集め、セキュリティリソースの不足や、MetaおよびWhatsAppが法的責任を問われる可能性など、自身の懸念を説明しました。WhatsAppのセキュリティ担当エンジニアはわずか10人で、同規模の他社では通常200人規模のチームがいると指摘しました。
また、上司の依頼で、同社が直面している主要なデジタル脆弱性をまとめました。
主張の一つとして、WhatsAppは収集しているユーザーデータのインベントリを持っておらず、これはカリフォルニア州法、EU一般データ保護規則(GDPR)、および連邦政府との2020年プライバシー命令に違反する可能性があるとしています。同社はユーザーデータの保存場所を特定できず、何千人ものMetaエンジニアに「正当な業務上の理由なく」無制限のアクセス権を与えていました。
また、同社にはセキュリティオペレーションセンターがなく、エンジニアがユーザーデータにアクセスしようとした際の記録や追跡方法もなかったと訴状は主張しています。
ベイグ氏はさらに、約10万人のWhatsAppユーザーが毎日アカウント乗っ取りの被害に遭っており、同社にはそのような被害を防止・抑止する仕組みがなかったとも主張しています。
この期間中、ベイグ氏は内部告発をしたことで上司から「継続的な報復」を受けたと主張しています。
最初に懸念を伝えてから3日後、ベイグ氏の直属の上司は彼に「業績が良くない」「仕事の質に問題がある」と伝えました。これが初めてのネガティブなフィードバックであり、同じ上司は3か月前にはベイグ氏の「プロジェクト範囲やスケジュール等に対する極めて高い集中力と明確さ」を称賛していました。2022年9月、その上司はベイグ氏の業績評価を「支援が必要」に変更しました。その後の評価では、ベイグ氏のサイバーセキュリティに関する苦情が評価を下げる根拠として明記されました。
さらに、幹部から明確に依頼されたセキュリティ報告書を提出した後、上司のスレン・ヴァーマ氏はビデオ通話で「これは人生で見た中で最悪のドキュメントだ」と伝え、「こんな文書を書いたらMetaの幹部は君を解雇するだろう」と警告したとされています。ヴァーマ氏はまた、ベイグ氏の役員報酬パッケージや裁量株式を差し止めると脅したとも報じられています。
ベイグ氏の主張は、他の大手ソーシャルメディア企業のセキュリティ内部告発者の事例と非常によく似ています。ベイグ氏がMetaに在籍していた頃、Twitter(現X)の最高セキュリティ責任者も同様の問題を記録していました。
伝説的ハッカーでサイバーセキュリティ専門家のピーテル・ザトコ氏は、Twitterのセキュリティ向上のために招かれましたが、同社のデータインフラがあまりにも分散化されており、幹部が収集データや保存場所について信頼できる回答ができないことをすぐに突き止めました。
「まず、彼らはどんなデータを持っているのか、どこにあるのか、どこから来たのかを把握していません。ですから当然、保護することもできません」とザトコ氏は2022年に上院司法委員会で証言しました。「これが2つ目の問題につながります。従業員があまりにも多くのシステムで、あまりにも多くのデータに過剰なアクセス権を持っているのです。」
WhatsAppに対する主張と同様に、ザトコ氏は2020年にTwitterに着任した際、同社が「業界のセキュリティ標準から10年以上遅れている」とすぐに気付いたと議会に証言しました。
ベイグ氏の訴状によれば、ある会議でWhatsAppのグローバル公共政策責任者ジョナサン・リー氏は、ベイグ氏が指摘した脆弱性が深刻であり、「MudgeがTwitterに与えたような」結果をWhatsAppも受ける可能性があると述べました(Mudgeはザトコ氏の通称)。
ベイグ氏は2023年3月まで警告を続け、経営陣に対し、同社のサイバーセキュリティに対する不十分な取り組みが2020年のFTC同意命令に直接違反していると伝えました。
上司からの「エスカレートする報復」に直面した後、ベイグ氏は2024年1月2日、ザッカーバーグ氏とMetaの法務責任者ジェニファー・ニューステッド氏に書簡を送り、中央セキュリティチームが「セキュリティの欠如を隠すために」セキュリティ報告書を偽造していたと警告しました。同月後半、ベイグ氏は上司に対し、Metaがアイルランドのデータ保護法遵守に「虚偽のコミットメント」をしていることを記録していると伝え、数万人の従業員がユーザーデータに容易にアクセスできる具体例を挙げました。
こうした警告は2024年を通じて続き、ベイグ氏は過去の懸念を繰り返し、同社のプライバシー法遵守に関する新たな問題も提起しました。
2024年11月、ベイグ氏は証券取引委員会(SEC)にTCR(情報提供、苦情または照会)フォームを提出し、懸念とMetaによる改善の欠如を説明。また、同社による「体系的な報復」について労働安全衛生局(OSHA)にも苦情を申し立てました。
2025年2月、Metaはベイグ氏に対し、今後予定されている業績評価に基づくレイオフの対象になると伝え、主な理由として「業績不振」と「協調性の欠如」を挙げました。
Metaはこの訴訟に関するコメント要請に即時の回答をしませんでした。
翻訳元: https://cyberscoop.com/meta-whatsapp-lawsuit-privacy-violations-relatiation/