En international gruppe har anlagt et søgsmål mod Meta ved en føderal domstol i San Francisco. Sagsøgerne påstår, at WhatsApps end-to-end-kryptering ikke fungerer som lovet, og at Meta reelt kan tilgå brugernes private beskeder.
Søgsmålet blev ifølge erhvervsmediet Bloomberg indgivet d. 24. januar og omfatter sagsøgere fra Australien, Brasilien, Indien, Mexico og Sydafrika. Gruppen ønsker at opnå status som kollektivt søgsmål, hvormed de potentielt kan repræsentere WhatsApps over to milliarder brugere verden over.
Whistleblowere som kilde
Ifølge sagsanlægget stammer anklagerne fra unavngivne whistleblowere hos Meta. Sagsøgerne hævder, at Meta- og WhatsApp-ansatte kan anmode virksomhedens tekniske team om adgang til brugernes beskeder. Når adgangen er godkendt, kan medarbejderne angiveligt læse hele chathistorikken knyttet til en bestemt bruger, herunder beskeder, der går helt tilbage til kontoens oprettelse, og beskeder, som brugeren troede var slettet.
Søgsmålet påstår desuden, at godkendelsesprocessen er løs, og at det tekniske team ofte giver adgang uden nærmere kontrol.
Der er dog ikke fremlagt tekniske detaljer for, hvordan dette skulle være muligt. WhatsApp benytter Signal-protokollen til sin end-to-end-kryptering, hvilket i princippet betyder, at krypteringsnøglerne kun opbevares på brugernes enheder – ikke hos Meta.
Meta afviser anklagerne
Meta har kaldt søgsmålet for “useriøst” og “en letfærdig fiktion”. I en udtalelse til tech-mediet Lifehacker siger virksomhedens talsmand Andy Stone, at enhver påstand om, at WhatsApp-beskeder ikke er krypterede, er “kategorisk falsk og absurd”. Han understreger, at WhatsApp har brugt Signal-protokollen til end-to-end-kryptering i næsten et årti.
Meta har varslet, at virksomheden vil søge om sanktioner mod sagsøgernes advokater.
Metadata er ikke krypteret
Uanset udfaldet af søgsmålet er det værd at bemærke, at WhatsApps end-to-end-kryptering kun dækker indholdet af beskeder. Metadata – altså oplysningerne om, hvem du skriver med, hvornår, og hvor ofte – er ikke krypteret og kan indsamles af Meta.
WhatsApp deler ifølge sin privatlivspolitik visse oplysninger med moderselskabet Meta, herunder telefonnumre, enhedsoplysninger, IP-adresser og brugsmønstre.
Sådan beskytter du dig
Om whistleblowerne har ret, og sagsøgerne ender med at vinde i retten over Meta, vil tiden vise, men hvis du er bekymret for privatlivet i dine chatbeskeder – og gerne vil være på den helt sikre side – kan du overveje følgende:
Overvej en anden beskedtjeneste
– Signal er den mest anbefalede. App’en drives af en nonprofit-organisation, indsamler kun dit telefonnummer og har open source-kode, så sikkerhedseksperter kan verificere, at krypteringen fungerer som lovet. Signal beskytter også metadata med funktionen “Sealed Sender”, så selv oplysninger om hvem du skriver med og hvornår er skjult. Gratis til iOS, Android og desktop.
– Threema er et schweizisk alternativ, der ikke kræver telefonnummer eller e-mail ved oprettelse – du får i stedet et tilfældigt genereret ID. Koden er open source og gennemgår regelmæssige sikkerhedsrevisioner. App’en koster et engangsbeløb på ca. 35 kroner.
– Wire er udviklet af tidligere Skype-medarbejdere og tilbyder krypteret chat, tale- og videoopkald samt fildeling. Koden er open source og baseret i Schweiz. Gratis til personlig brug.
– Session er for de særligt privatlivsbevidste. App’en kræver hverken telefonnummer eller e-mail, gemmer ingen metadata og benytter et decentraliseret netværk, så der ikke findes én central server, der kan kompromitteres. Gratis.
Generelle råd
– Tænk over, hvad du deler: Uanset hvilken app du bruger, bør du undgå at dele følsomme oplysninger som CPR-numre, adgangskoder, betalingsoplysninger eller intime billeder via chat. Selv krypterede beskeder kan kompromitteres, hvis modtagerens enhed er hacket, eller hvis nogen simpelthen tager et screenshot.
– Tjek app’ens dataindsamling: I App Store og Google Play kan du se, hvilke data en app indsamler. Signal indsamler som nævnt kun dit telefonnummer. WhatsApp indsamler ifølge sin egen privatlivsmærkning bl.a. kontakter, enhedsoplysninger, brugsdata og placering.
– Husk metadata: Selv med end-to-end-kryptering kan metadata afsløre meget om dig – hvem du kommunikerer med, hvornår og hvor ofte. WhatsApp beskytter ikke metadata, mens Signal og Threema gør.