Seorang mantan karyawan Meta, Attaullah Baig, melayangkan gugatan yang mengguncang perusahaan raksasa media sosial tersebut, menuduh WhatsApp, aplikasi pesan instan terpopuler di dunia, memiliki serangkaian kelemahan keamanan siber yang sistemik dan berpotensi membahayakan privasi ratusan juta penggunanya. Baig, yang pernah menjabat sebagai kepala keamanan WhatsApp, menuding Meta melakukan tindakan balasan (retaliasi) setelah ia melaporkan temuan-temuan krusial terkait celah keamanan tersebut kepada para petinggi perusahaan, termasuk CEO Mark Zuckerberg.
Gugatan tersebut, yang diajukan di Pengadilan Distrik Utara California, mengklaim bahwa Baig menemukan serangkaian kelemahan keamanan yang berpotensi melanggar undang-undang sekuritas federal dan kewajiban hukum Meta terkait penyelesaian kasus privasi tahun 2020 dengan Federal Trade Commission (FTC). Lebih jauh lagi, Baig menuduh bahwa Meta gagal untuk mengungkapkan risiko-risiko keamanan siber yang signifikan kepada para investornya.
Menurut dokumen gugatan, Baig bergabung dengan WhatsApp pada tahun 2021 dan segera menemukan sejumlah kelemahan yang mengkhawatirkan dalam infrastruktur keamanan aplikasi tersebut. Dalam serangkaian uji coba yang dilakukannya, Baig mengklaim bahwa sekitar 1.500 teknisi WhatsApp memiliki akses tanpa batas (unrestricted access) ke data pengguna, termasuk informasi pribadi yang sangat sensitif seperti nomor telepon, daftar kontak, riwayat percakapan, foto, video, dan data lokasi.
Lebih mengkhawatirkan lagi, Baig menuduh bahwa para karyawan tersebut dapat memindahkan atau mencuri data pengguna tanpa terdeteksi atau meninggalkan jejak audit (audit trail). Hal ini berarti bahwa data pribadi jutaan pengguna WhatsApp rentan terhadap penyalahgunaan, pencurian identitas, dan bentuk-bentuk kejahatan siber lainnya.
Baig mengklaim bahwa ia telah berulang kali memperingatkan atasannya tentang risiko-risiko yang ditimbulkan oleh kelemahan keamanan tersebut, dengan menekankan bahwa hal itu dapat berdampak serius pada kepatuhan regulasi WhatsApp terhadap berbagai undang-undang dan peraturan privasi data, termasuk GDPR (General Data Protection Regulation) di Eropa dan CCPA (California Consumer Privacy Act) di Amerika Serikat.
Namun, alih-alih mengambil tindakan untuk mengatasi masalah tersebut, Baig menuduh bahwa Meta justru melakukan tindakan balasan terhadapnya. Pengacara Baig mengklaim bahwa hanya dalam tiga hari setelah ia mengungkapkan kelemahan-kelemahan WhatsApp tersebut, ia mulai menerima penilaian kinerja yang negatif dari kantor. Baig juga mengklaim bahwa ia diisolasi dari proyek-proyek penting dan bahwa tanggung jawabnya dikurangi secara signifikan.
Merasa frustrasi dengan kurangnya respons dari Meta, Baig kemudian memutuskan untuk melaporkan masalah tersebut kepada U.S. Securities and Exchange Commission (SEC), lembaga pengawas pasar modal di Amerika Serikat. Baig menuduh bahwa Meta gagal untuk memberi tahu para investor tentang risiko keamanan siber yang signifikan di WhatsApp, yang menurutnya merupakan pelanggaran terhadap undang-undang sekuritas federal.
Baig kemudian menyampaikan kepada Mark Zuckerberg bahwa ia telah mengajukan pengaduan ke SEC dan bahwa ia meminta tindakan segera untuk mengatasi kegagalan keamanan di WhatsApp. Namun, alih-alih mengambil tindakan, Baig mengklaim bahwa Meta justru memecatnya dengan alasan kinerja yang buruk sebagai bagian dari PHK massal (layoff) perusahaan pada bulan Februari 2025 yang memengaruhi sekitar 5% pegawai Meta.
Tentu saja, Meta membantah keras semua tuduhan yang dilayangkan oleh Baig. Juru bicara Meta mengatakan bahwa tuduhan Baig adalah "strategi yang sudah lazim di mana seorang mantan karyawan dipecat karena kinerja buruk dan kemudian mempublikasikan klaim menyesatkan yang tidak mencerminkan kerja keras tim kami yang berkelanjutan. Kami bangga dapat membangun rekam jejak kuat dalam melindungi privasi orang-orang," sebutnya.
Namun, gugatan Baig telah menimbulkan pertanyaan serius tentang keamanan dan privasi WhatsApp. Jika tuduhan Baig terbukti benar, maka hal itu dapat berdampak besar pada reputasi WhatsApp dan Meta, serta dapat mengakibatkan tuntutan hukum dan sanksi regulasi yang signifikan.
Kasus ini juga menyoroti pentingnya keamanan siber dalam industri teknologi. Dengan semakin banyaknya data pribadi yang disimpan dan diproses secara online, perusahaan-perusahaan teknologi memiliki tanggung jawab yang besar untuk melindungi data tersebut dari akses yang tidak sah dan penyalahgunaan. Kegagalan untuk melakukannya dapat mengakibatkan konsekuensi yang serius bagi perusahaan dan penggunanya.
Gugatan Baig juga menyoroti pentingnya whistleblower (pelapor pelanggaran) dalam mengungkap praktik-praktik yang salah di perusahaan. Whistleblower sering kali menghadapi risiko pribadi dan profesional yang signifikan ketika mereka melaporkan pelanggaran, tetapi mereka memainkan peran penting dalam menjaga akuntabilitas perusahaan dan melindungi kepentingan publik.
Kasus ini masih dalam tahap awal, dan masih harus dilihat bagaimana pengadilan akan memutuskan. Namun, gugatan Baig telah menimbulkan kekhawatiran yang mendalam tentang keamanan dan privasi WhatsApp, dan hal itu dapat memaksa Meta untuk mengambil tindakan untuk meningkatkan keamanan aplikasi tersebut dan melindungi data penggunanya.
Implikasi dari kasus ini sangat luas. Jika Baig berhasil membuktikan klaimnya, hal itu tidak hanya akan merugikan Meta secara finansial, tetapi juga dapat merusak kepercayaan publik terhadap WhatsApp dan aplikasi pesan instan lainnya. Pengguna mungkin menjadi lebih waspada tentang data pribadi yang mereka bagikan melalui aplikasi tersebut, dan mereka mungkin mencari alternatif yang lebih aman dan pribadi.
Selain itu, kasus ini dapat mendorong regulator di seluruh dunia untuk meningkatkan pengawasan mereka terhadap perusahaan-perusahaan teknologi dan untuk memberlakukan peraturan yang lebih ketat tentang privasi data dan keamanan siber. Perusahaan-perusahaan teknologi mungkin dipaksa untuk berinvestasi lebih banyak dalam keamanan siber dan untuk mengambil langkah-langkah yang lebih kuat untuk melindungi data pengguna mereka.
Pada akhirnya, kasus ini adalah pengingat yang kuat tentang pentingnya privasi data dan keamanan siber di era digital. Pengguna memiliki hak untuk mengetahui bagaimana data mereka dikumpulkan, digunakan, dan dilindungi. Perusahaan-perusahaan teknologi memiliki tanggung jawab untuk melindungi data tersebut dan untuk bertindak secara transparan dan akuntabel.