Một vụ kiện tập thể đang gây chấn động dư luận khi cáo buộc rằng tính năng mã hóa đầu cuối (E2EE) của WhatsApp, vốn được quảng cáo là đảm bảo quyền riêng tư tuyệt đối cho người dùng, thực chất là một lời nói dối. Theo đơn kiện, các nhân viên của Meta (công ty mẹ của WhatsApp) có thể truy cập toàn bộ tin nhắn của người dùng chỉ bằng một yêu cầu nội bộ.
WhatsApp, từ những ngày đầu do Jan Koum và Brian Acton sáng lập, đã nhấn mạnh vào việc xây dựng ứng dụng dựa trên nền tảng mã hóa E2EE. Điều này có nghĩa là chỉ người gửi và người nhận mới có thể giải mã và đọc được nội dung tin nhắn, ngay cả khi chúng đi qua máy chủ của WhatsApp. Tuy nhiên, vụ kiện mới đây cho rằng quy trình này không hề tồn tại.
Đơn kiện nêu rõ: “Tuyên bố của Meta và WhatsApp rằng họ không có quyền truy cập vào nội dung giao tiếp của người dùng WhatsApp là sai sự thật. Theo lời khai của những người tố giác, WhatsApp và Meta lưu trữ và có quyền truy cập không giới hạn vào các cuộc trò chuyện được mã hóa của WhatsApp, và quy trình để nhân viên Meta có được quyền truy cập đó rất đơn giản. Một nhân viên chỉ cần gửi một ‘nhiệm vụ’ (tức là yêu cầu qua hệ thống nội bộ của Meta) cho một kỹ sư của Meta, kèm theo lời giải thích rằng họ cần truy cập tin nhắn WhatsApp cho công việc của mình. Đội ngũ kỹ sư của Meta sau đó sẽ cấp quyền truy cập, và họ có thể đọc tin nhắn của người dùng… Tin nhắn xuất hiện gần như ngay lập tức khi được trao đổi – về cơ bản là theo thời gian thực. Hơn nữa, quyền truy cập không có giới hạn về phạm vi thời gian, với nhân viên Meta có khả năng truy cập tin nhắn từ thời điểm người dùng kích hoạt tài khoản của họ, bao gồm cả những tin nhắn mà người dùng tin rằng họ đã xóa.”
Trước những cáo buộc nghiêm trọng này, Giáo sư Matthew Green thuộc Đại học Johns Hopkins, một chuyên gia mật mã học, đã đưa ra phân tích trên blog cá nhân. Ông thừa nhận rằng mặc dù WhatsApp sử dụng giao thức Signal cho mã hóa, mã nguồn thực tế không phải là mã nguồn mở, khiến việc xác minh độc lập trở nên khó khăn.
Tuy nhiên, Giáo sư Green cho rằng các cáo buộc này “cực kỳ khó có khả năng là sự thật” vì ba lý do chính. Thứ nhất, nếu Meta thực hiện điều này, họ “sẽ bị phát hiện”. Thứ hai, bằng chứng về hành vi này “gần như chắc chắn sẽ hiển thị trong mã ứng dụng của WhatsApp”. Thứ ba, nó sẽ khiến WhatsApp và Meta phải đối mặt với “những hình thức hủy hoại mới mẻ”. Ông nhấn mạnh rằng ngay cả khi mã nguồn ứng dụng không công khai, nhiều phiên bản đã biên dịch của ứng dụng vẫn có sẵn để tải về và phân tích.
Giáo sư Green kết luận rằng việc tin tưởng WhatsApp về vấn đề này là “hoàn toàn hợp lý”, tương tự như cách nhiều người dùng tin tưởng iMessage và FaceTime của Apple dù mã nguồn E2EE của chúng cũng không phải là mã nguồn mở. Vụ kiện này, theo đánh giá của 9to5Mac, dường như thiếu bằng chứng cụ thể, và nếu đúng sự thật, nó sẽ là một trong những vụ bê bối bảo mật lớn nhất trong lịch sử công nghệ.
