Et nytt søksmål(nytt vindu) setter WhatsApps sikkerhet tilbake i søkelyset. Attaullah Baig, appens tidligere sikkerhetssjef, hevder at Meta ignorerte kritiske feil som lar hundrevis av ansatte få tilgang til sensitive brukerdata, og unnlot å stoppe massehacking av kontoer. Meta nekter påstandene, men for WhatsApps 3 milliarder brukere(nytt vindu), er spørsmålet det samme: Er WhatsApp virkelig trygt å bruke?

Er WhatsApp sikkert for private chatter?

Til tross for søksmålets påstander, forblir WhatsApps ende-til-ende-kryptering (E2EE) intakt. Ingenting tyder på at WhatsApps krypteringsprotokoll er brutt, eller at Meta kan lese innholdet i samtalene dine. Det betyr at dine tekster, bilder og taleanrop fortsatt er beskyttet mot tilgang utenfra, inkludert Meta selv.

Imidlertid kan WhatsApp lese metadataene dine (hvem du snakker med, når, osv.) og, avhengig av hvor du bor, dele den dataen med Meta. Så sikkerheten avhenger av hvor mye informasjon du vil holde privat.

Hvorfor blir Meta saksøkt for WhatsApps personvernbekymringer?

Attaullah Baig, som ledet WhatsApps sikkerhetsteam mellom 2021 og 2025, sier at appen ikke er på langt nær så privat som Meta hevder. I sitt søksmål påstår han at omtrent 1 500 ansatte har tilgang til sensitiv brukerinformasjon, inkludert plassering, profilbilder, gruppemedlemskap og kontaktlister.

Hvis disse påstandene er sanne, vil de klargjøre WhatsApps holdning til ende-til-ende-kryptering(nytt vindu): Meldingene dine er private, men plasseringen din, profilbildene, gruppemedlemskapene og kontaktlistene dine er fritt vilt. Denne typen ubegrenset tilgang åpner døren for innsidetrusler og datalekkasjer, hvor sensitiv informasjon kan bli stjålet og solgt på det mørke nettet.

Den tidligere sikkerhetssjefen argumenterer for at dette tilgangsnivået også kan bryte med en bindende kjennelse fra amerikanske myndigheter som tvang Meta (da Facebook) til å betale en rekordstor bot på 5 milliarder dollar i 2020(nytt vindu) etter Cambridge Analytica-skandalen.

Han hevder også at selskapet ignorerte mer enn 100 000 daglige kontoovertakelser og avviste hans foreslåtte feilrettinger. I følge søksmålet fikk Meta ham sparket da Baig tok opp disse bekymringene med toppledelsen, inkludert Mark Zuckerberg.

Meta nekter Baigs påstander og skyldte på dårlig ytelse for oppsigelsen hans. Beskyldningene har også trukket politisk oppmerksomhet, med senatorer som presser Zuckerberg(nytt vindu) for svar om WhatsApps sikkerhetspraksis.

Baigs søksmål kommer bare noen få dager etter at en gruppe på seks nåværende og tidligere Meta-ansatte(nytt vindu) hevdet at selskapet dekket over bevis for at barn ble utsatt for grooming, trakassering og vold på deres virtuelle virkelighetsplattformer. Meta nekter også disse påstandene.

Hva er WhatsApps sikkerhets- og personvernrisikoer?

Med WhatsApps håndtering av brukerdata i søkelyset, er her sikkerhets- og personvernrisikoene du kan møte når du bruker denne appen:

Skadelig programvare og spionvare

Ondsinnede apper eller lenker kan installere spionvare på telefonen din, slik at angripere kan fange opp meldinger eller koder. Et eksempel er PixPirate(nytt vindu), en skadelig programvare for Android først oppdaget i Brasil, der den rettet seg mot landets system for umiddelbar betaling, Pix. Den har siden blitt observert i India, Mexico og Italia. Dens mål er å stjele bankpåloggingsinformasjon, fange opp tofaktorautentiseringskoder (2FA), starte uautoriserte Pix-overføringer fra et offers konto, og blokkere forsøk på å avinstallere den eller deaktivere Google Play Protect.

Angripere har brukt WhatsApp til å spre PixPirate. Hvis den skadelige programvaren ikke oppdager WhatsApp på enheten(nytt vindu), vil den laste ned appen for å sende flere ondsinnede lenker til kontakter.

Zero-click-utnyttelser

I 2025 oppdaget forskere et zero-click-angrep som lot hackere bryte seg inn på iPhones og Macer via WhatsApp(nytt vindu) uten at brukere klikket på noe. Utnyttelsen kombinerte to feil: én i hvordan macOS og iOS behandlet bilder, og en annen i WhatsApps funksjon for sammenkobling av enhet.

Nettkriminelle kunne levere spionvare til Apple-brukere gjennom WhatsApp-meldinger og stjele data fra enhetene deres, inkludert meldinger. Meta sa at færre enn 200 brukere var berørt, og både Apple og WhatsApp har siden rettet opp i sårbarhetene.

I samme år påvirket en egen zero-click-sårbarhet Samsung-enheter (CVE-2025-21042(nytt vindu)). Angripere kunne kompromittere Galaxy-telefoner ved å sende en ondsinnet bildefil, og ingen interaksjon var nødvendig. Denne utnyttelsen ble brukt i målrettede spionvarekampanjer inntil Samsung patchet problemet i sin sikkerhetsoppdatering fra april 2025.

SIM-bytting og svindel med verifiseringskoder

Angripere kan lure mobiloperatøren din til å overføre telefonnummeret ditt til et nytt SIM-kort de kontrollerer. Deretter kan de svindle deg til å dele den sekssifrede koden som WhatsApp sender via SMS når du konfigurerer en ny enhet. Hvis du overleverer den, kan dårlige aktører kapre kontoen din, låse deg ute, stjele din identitet, og bruke profilen din til å svindle kontaktene dine. Politiet i Southwark, London, rapporterte en økning av disse angrepene i 2021(nytt vindu), med en advarsel til folk om aldri å dele sine WhatsApp-koder.

Eksponert metadata

Chatter kan være ende-til-ende-krypterte, men WhatsApp (og dets overordnede selskap Meta) samler fortsatt inn metadata – som hvem du snakker med, hvor ofte, enhetsdetaljer, og plassering. Metadata kan ikke brukes til å identifisere deg direkte, men de kan kryssrefereres med annen informasjon for å gjenkjenne deg(nytt vindu). Og fordi Meta er basert i USA, kan de dele alt de vet om deg med den amerikanske regjeringen uten varsel.

Masseeksponering av 3,5 milliarder WhatsApp-telefonnumre

I 2025 oppdaget en gruppe uavhengige østerrikske forskere en personvernfeil(nytt vindu) i WhatsApp som tillot dem å hente 3,5 milliarder telefonnumre – sammen med profilbilder, enhetsdetaljer, tidsstempler, “om”-tekst og bedriftsinfo – ved å bruke en metode for telefonopptelling som er lett å reprodusere. Den samme sårbarheten ble først rapportert i 2017, men Meta tok ikke tak i det. Viktigere, ingen bekreftede databrudd for WhatsApp har blitt offentlig rapportert som å ha utnyttet denne spesifikke metoden.

Selv om telefonnummeret ditt og metadata ikke identifiserer deg direkte, kan de matches med annen data for å avsløre hvem du er. Kanskje du gjenbruker det samme profilbildet på tvers av sosiale plattformer, eller du har vært en del av tidligere databrudd hvor e-postene dine, brukernavn eller plassering ble eksponert – som alt kan lenkes tilbake til dine WhatsApp-metadata.

Forskerne skaffet seg også de offentlige nøklene som brukes for WhatsApps ende-til-ende-kryptering og fant alvorlige problemer, inkludert at krypteringsnøkler ble gjenbrukt hundrevis av ganger på tvers av forskjellige kontoer, og engangs forhåndsnøkler dukket opp gjentatte ganger selv om de er designet for å genereres på nytt for hver økt.

Disse sikkerhetsproblemene antyder bruken av uoffisielle eller uredelige WhatsApp-klienter med brutt kryptering. Hvis du bruker disse modifiserte appene, kan meldingene dine være sårbare for avskjæring, dekryptering eller konto-etterligning.

Meta sa at de hadde løst opptellingsproblemet, bagatellisert sensitiviteten til de eksponerte dataene, og tok ikke tak i problemene med offentlig nøkkel eller det faktum at de hadde blitt advart om denne store feilen nesten et tiår tidligere.

Målrettede annonser på alle Meta-plattformer

WhatsApp sier at de ikke bruker meldingsinnhold til annonser(nytt vindu), men de bruker annen data – som kontoinformasjon (landskode, alder), enhetsinformasjon (språk, plassering) og aktivitet i Status og Kanaler (hva du ser på, følger eller klikker på). Fordi WhatsApp er en del av Meta, kan disse dataene deles på tvers av Facebook og Instagram, selv om denne datadelingen er begrenset i Europa takket være GDPR.

Helt siden WhatsApp endret personvernerklæringen sin i 2021, har den også delt betalings- og transaksjonsdata du kan ha hatt med bedrifter, med Meta (da Facebook). Hvis du velger å koble til WhatsApp med Metas kontosenter, blir annonsepreferansene dine forent, noe som betyr at handlinger i WhatsApp kan påvirke annonser du ser andre steder. Og med nye funksjoner drevet av Meta AI, vekker datadeling på tvers av plattformer enda flere bekymringer.

Meta AI-trening

Meta AI er innfelt i WhatsApp, Facebook og Instagram, og gir næring til bekymringer om hvordan data behandles, brukes til AI-trening og deles på tvers av disse plattformene.

På WhatsApp sier Meta at Meta AI ikke har tilgang til dine private, ende-til-ende-krypterte chatter. Imidlertid kan ledetekstene og tilbakemeldingen du deler med Meta AI bli lagret og brukt til å forbedre deres modeller. WhatsApp tilbyr også en funksjon for samtale-oppsummering som er avhengig av «privat behandling»(nytt vindu), som Meta hevder forhindrer at sammendrag blir lest av selskapet eller noen andre.

Selv med disse forsikringene gjenstår bekymringer om hvor mye kontroll folk egentlig har over dataene sine. For eksempel har Facebook-brukere rapportert at Meta AI aktiverte innstillinger som tillot dem å skanne upubliserte bilder fra kamerarullen sin uten deres samtykke.

Slik holder du deg trygg på WhatsApp

Her er hva du kan gjøre for å forbedre ditt personvern og sikkerhet når du bruker WhatsApp:

  • Bruk alltid de offisielle WhatsApp-appene fra App Store eller Google Play for å sikre at ende-til-ende-krypteringen din fungerer riktig.
  • Slå på sikkerhetsvarsler på telefonen din for å få varsel når en kontakt installerer WhatsApp på nytt, bytter telefon, eller legger til eller fjerner en tilknyttet enhet.
  • Opprett en passnøkkel slik at du kan logge på WhatsApp med ansiktet, fingeravtrykk eller skjermlås. Dette forhindrer at noen andre logger på selv om de får din SMS-kode.
  • Legg til en e-postadresse for å verifisere eller gjenopprette kontoen din hvis du er låst ute. Sørg for at selve e-posten er sikret med et sterkt passord og tofaktorautentisering.
  • Aktiver ende-til-ende-krypterte sikkerhetskopier for å beskytte chattene dine i iCloud eller Google Drive slik at ikke engang Apple, Google eller Meta kan lese dem. WhatsApp lar deg ikke velge en leverandør av skylagring. Ellers bør du slå av chat-sikkerhetskopier helt.
  • Del aldri din sekssifrede verifiseringskode med noen. WhatsApp og Meta vil aldri be om den.
  • Be mobiloperatøren din om å legge til en PIN-kode eller passfrase før nummeret ditt kan flyttes til et annet SIM-kort. Dette gjør SIM-bytting mye vanskeligere.
  • Last ned WhatsApp kun fra Google Play eller App Store, og hold den – og ditt mobile og stasjonære operativsystem – oppdatert til den nyeste versjonen.
  • Klikk aldri på lenker eller installer apper fra ukjente eller mistenkelige WhatsApp-kontakter. Hvis du er usikker på en kontakt, kontakt dem via en annen metode for å bekrefte deres identitet.
  • Sikre dine (nytt vindu)WhatsApp-personverninnstillinger(nytt vindu) ved å begrense hvem som kan legge deg til i grupper og se profilbildet ditt, sist sett og pålogget status, om-delen og lenker på profilen din.
  • Du kan ikke fullstendig slå av Meta AI på WhatsApp, men du kan ta skritt for å forhindre den i å lære for mye fra aktiviteten din – og beskytte meldingene dine fra å ende opp i AI-treningsdata.

Velg en mer privat app for direktemeldinger

Selv om du kan ta grep for å forbedre sikkerheten din og begrense hva andre WhatsApp-brukere kan se, endrer ikke dette det faktum at Meta fortsatt er avhengig av å samle inn brukerinformasjon, som metadata, for inntekter. Hvis nylige varslerpåstander er nøyaktige, kan den tilgangen være enda bredere enn selskapet innrømmer. Gitt Metas historie med personvernkrenkelser, er litt skepsis berettiget.

Hvis du er bekymret for dette kontrollnivået, bør du vurdere et mer privat alternativ til WhatsApp som samler inn langt mindre data og ikke er knyttet til et Big Tech-selskap bøtelagt av regulatorer for sin betal-eller-samtykk-reklamemodell.