Nowy pozew(nowe okno) ponownie stawia bezpieczeństwo WhatsAppa w centrum uwagi. Attaullah Baig, były szef bezpieczeństwa aplikacji, twierdzi, że Meta zignorowała krytyczne luki, które pozwalają setkom pracowników na dostęp do wrażliwych danych użytkowników i nie powstrzymała masowych włamań na konta. Meta zaprzecza tym twierdzeniom, ale dla 3 miliardów użytkowników WhatsAppa(nowe okno) pytanie pozostaje to samo: Czy WhatsApp jest naprawdę bezpieczny?

Czy WhatsApp jest bezpieczny dla prywatnych czatów?

Mimo zarzutów z pozwu, szyfrowanie end-to-end (E2EE) WhatsAppa pozostaje nienaruszone. Nic nie sugeruje, że protokół szyfrowania WhatsAppa został złamany ani że Meta może czytać treść Twoich wątków. Oznacza to, że Twoje wiadomości tekstowe, zdjęcia i połączenia głosowe są nadal chronione przed dostępem z zewnątrz, w tym przez samą Metę.

Jednak WhatsApp może odczytać Twoje metadane (z kim rozmawiasz, kiedy itp.) i, w zależności od miejsca zamieszkania, udostępnia te dane Mecie. Zatem jego bezpieczeństwo zależy od tego, jak wiele informacji chcesz zachować jako prywatne.

Dlaczego Meta została pozwana w związku z obawami o prywatność w WhatsAppie?

Attaullah Baig, który kierował zespołem bezpieczeństwa WhatsAppa w latach 2021–2025, twierdzi, że aplikacja nie jest tak prywatna, jak twierdzi Meta. W swoim pozwie zarzuca, że około 1500 pracowników ma dostęp do wrażliwych informacji o użytkownikach, w tym lokalizacji, zdjęć profilowych, członkostwa w grupach i list kontaktów.

Jeśli te twierdzenia są prawdziwe, wyjaśniłyby stanowisko WhatsAppa w sprawie szyfrowania end-to-end(nowe okno): Twoje wiadomości są prywatne, ale Twoja lokalizacja, zdjęcia profilowe, członkostwo w grupach i listy kontaktów są dostępne. Taki nieograniczony dostęp otwiera drzwi dla zagrożeń wewnętrznych i wycieków danych, w ramach których wrażliwe informacje mogą zostać skradzione i sprzedane w dark webie.

Były szef bezpieczeństwa argumentuje, że ten poziom dostępu może również naruszać wiążący nakaz rządu USA, który zmusił Metę (wtedy Facebooka) do zapłacenia rekordowej kary w wysokości 5 miliardów dolarów w 2020 roku(nowe okno) po skandalu Cambridge Analytica.

Zarzuca również, że firma ignorowała ponad 100 000 przejęć kont dziennie i odrzucała proponowane przez niego poprawki. Według pozwu, kiedy Baig zgłosił te obawy kierownictwu wyższego szczebla, w tym Markowi Zuckerbergowi, Meta go zwolniła.

Meta zaprzeczyła twierdzeniom Baiga i zrzuciła winę za jego zwolnienie na słabe wyniki. Zarzuty przyciągnęły również uwagę polityków, a senatorowie naciskają na Zuckerberga(nowe okno), domagając się odpowiedzi na temat praktyk bezpieczeństwa WhatsAppa.

Pozew Baiga pojawia się zaledwie kilka dni po tym, jak grupa sześciu obecnych i byłych pracowników Mety(nowe okno) stwierdziła, że firma ukrywała dowody na to, że dzieci były narażone na grooming, nękanie i przemoc na jej platformach wirtualnej rzeczywistości. Meta również zaprzeczyła tym twierdzeniom.

Jakie są zagrożenia dla bezpieczeństwa i prywatności w WhatsAppie?

W obliczu uwagi skupionej na przetwarzaniu danych użytkowników przez WhatsApp, oto zagrożenia dla bezpieczeństwa i prywatności, z jakimi możesz się spotkać, korzystając z tej aplikacji:

Złośliwe oprogramowanie i oprogramowanie szpiegujące

Złośliwe aplikacje lub linki mogą zainstalować oprogramowanie szpiegujące na Twoim telefonie, umożliwiając atakującym przechwytywanie wiadomości lub kodów. Jednym z przykładów jest PixPirate(nowe okno), złośliwe oprogramowanie na Androida po raz pierwszy zauważone w Brazylii, gdzie celowało w krajowy system płatności natychmiastowych, Pix. Od tego czasu zaobserwowano je w Indiach, Meksyku i we Włoszech. Jego celem jest kradzież danych logowania do bankowości, przechwytywanie kodów uwierzytelniania dwustopniowego (2FA), inicjowanie nieautoryzowanych przelewów Pix z konta ofiary oraz blokowanie prób jego odinstalowania lub wyłączenia Google Play Protect.

Atakujący wykorzystywali WhatsApp do rozprzestrzeniania PixPirate. Jeśli złośliwe oprogramowanie nie wykryje WhatsAppa na urządzeniu(nowe okno), pobierze go, aby wysłać więcej złośliwych linków do kontaktów.

Exploity zero-click

W 2025 roku badacze odkryli atak zero-click, który pozwolił hakerom włamać się do iPhone’ów i Maców przez WhatsApp(nowe okno) bez klikania czegokolwiek przez użytkowników. Exploit łączył dwie luki: jedną w sposobie przetwarzania obrazów przez macOS i iOS, a drugą w funkcji łączenia urządzeń w WhatsApp.

Cyberprzestępcy mogli dostarczać oprogramowanie szpiegujące użytkownikom Apple za pośrednictwem wiadomości WhatsApp i kraść dane z ich urządzeń, w tym wiadomości. Meta poinformowała, że dotknęło to mniej niż 200 użytkowników, a zarówno Apple, jak i WhatsApp załatali luki.

W tym samym roku osobna luka zero-click dotknęła urządzenia Samsunga (CVE-2025-21042(nowe okno)). Atakujący mogli skompromitować telefony Galaxy, wysyłając złośliwy plik obrazu, co nie wymagało żadnej interakcji. Ten exploit był wykorzystywany w celowanych kampaniach spyware do czasu, aż Samsung naprawił ten problem w swojej aktualizacji bezpieczeństwa z kwietnia 2025 roku.

SIM swapping i oszustwa z kodami weryfikacyjnymi

Atakujący mogą oszukać Twojego operatora komórkowego, aby przeniósł Twój numer telefonu na nową kartę SIM, którą kontrolują. Następnie mogą wyłudzić od Ciebie sześciocyfrowy kod, który WhatsApp wysyła SMS-em podczas konfigurowania nowego urządzenia. Jeśli go przekażesz, przestępcy mogą przejąć Twoje konto, zablokować Ci dostęp, ukraść Twoją tożsamość i wykorzystać Twój profil do oszukiwania Twoich kontaktów. Policja w Southwark w Londynie zgłosiła gwałtowny wzrost tych ataków w 2021 roku(nowe okno), ostrzegając ludzi, aby nigdy nie udostępniali swoich kodów WhatsApp.

Ujawnione metadane

Czaty mogą być zaszyfrowane end-to-end, ale WhatsApp (i jego spółka matka Meta) nadal gromadzi metadane — takie jak to, z kim rozmawiasz, jak często, szczegóły Twojego urządzenia i lokalizację. Metadane nie mogą być wykorzystane do bezpośredniej identyfikacji Ciebie, ale mogą być powiązane z innymi informacjami w celu ponownej identyfikacji(nowe okno). A ponieważ Meta ma siedzibę w USA, może udostępnić wszystko, co o Tobie wie, rządowi USA bez powiadomienia.

Masowy wyciek 3,5 miliarda numerów telefonów WhatsAppa

W 2025 roku grupa niezależnych austriackich badaczy odkryła(nowe okno) lukę w prywatności WhatsAppa, która pozwoliła im odzyskać 3,5 miliarda numerów telefonów — wraz ze zdjęciami profilowymi, szczegółami urządzenia, znacznikami czasu, tekstem „o mnie” i informacjami biznesowymi — przy użyciu łatwej do odtworzenia metody enumeracji telefonów. Ta sama luka została po raz pierwszy zgłoszona w 2017 roku, ale Meta nie zajęła się nią. Co ważne, żadne potwierdzone naruszenie danych WhatsAppa nie zostało publicznie zgłoszone jako wykorzystujące tę konkretną metodę.

Chociaż Twój numer telefonu i metadane nie identyfikują Cię bezpośrednio, mogą zostać dopasowane do innych danych, aby ujawnić, kim jesteś. Być może używasz tego samego zdjęcia profilowego na różnych platformach społecznościowych lub brałeś udział w przeszłych naruszeniach danych, w których ujawniono Twoje wiadomości, nazwy użytkownika lub lokalizację — wszystko to można powiązać z Twoimi metadanymi WhatsAppa.

Badacze uzyskali również klucze publiczne używane do szyfrowania end-to-end w WhatsAppie i znaleźli poważne problemy, w tym klucze szyfrowania używane setki razy na różnych kontach oraz jednorazowe klucze wstępne pojawiające się wielokrotnie, mimo że powinny być generowane na nowo dla każdej sesji.

Te problemy z bezpieczeństwem sugerują użycie nieoficjalnych lub fałszywych klientów WhatsAppa z zepsutym szyfrowaniem. Jeśli korzystasz z tych zmodyfikowanych aplikacji, Twoje wiadomości mogą być podatne na przechwycenie, odszyfrowywanie lub podszywanie się pod konto.

Meta stwierdziła, że naprawiła problem enumeracji, bagatelizując wrażliwość ujawnionych danych i nie zajęła się problemami z kluczami publicznymi ani faktem, że ostrzegano ją o tej poważnej luce prawie dekadę wcześniej.

Reklamy targetowane na wszystkich platformach Meta

WhatsApp twierdzi, że nie wykorzystuje treści wiadomości do reklam(nowe okno), ale używa innych danych — takich jak informacje o koncie (kod kraju, wiek), informacje o urządzeniu (język, lokalizacja) oraz aktywność w statusie i kanałach (co oglądasz, obserwujesz lub w co klikasz). Ponieważ WhatsApp jest częścią Mety, dane te mogą być udostępniane na Facebooku i Instagramie, chociaż to udostępnianie danych jest ograniczone w Europie dzięki RODO.

Odkąd WhatsApp zmienił swoją politykę prywatności w 2021 roku, udostępniał również Mecie (wtedy Facebookowi) dane dotyczące płatności i transakcji, jakie mogłeś mieć z firmami. Jeśli połączysz WhatsApp z Centrum kont Meta, Twoje ustawienia reklam są ujednolicone, co oznacza, że działania w WhatsAppie mogą wpływać na reklamy, które widzisz gdzie indziej. A dzięki nowym funkcjom zasilanym przez Meta AI udostępnianie danych między platformami budzi jeszcze większe obawy.

Trenowanie Meta AI

Meta AI jest osadzona w WhatsAppie, Facebooku i Instagramie, podsycając obawy o to, jak dane są przetwarzane, wykorzystywane do trenowania AI i udostępniane między tymi platformami.

Na WhatsAppie Meta twierdzi, że Meta AI nie ma dostępu do Twoich prywatnych czatów zaszyfrowanych end-to-end. Jednak prompty i opinie, które udostępniasz Meta AI, mogą być przechowywane i wykorzystywane do ulepszania jej modeli. WhatsApp oferuje również funkcję podsumowania rozmowy, która opiera się na „przetwarzaniu prywatnym”(nowe okno), co według Mety zapobiega temu, by podsumowania były przeczytane przez firmę lub kogokolwiek innego.

Nawet przy tych zapewnieniach pozostają obawy co do tego, jaką kontrolę ludzie naprawdę mają nad swoimi danymi. Na przykład użytkownicy Facebooka zgłaszali, że Meta AI włączyła ustawienia, które pozwalały jej skanować nieopublikowane zdjęcia z ich rolki aparatu bez ich zgody.

Jak zachować bezpieczeństwo na WhatsAppie

Oto, co możesz zrobić, aby poprawić swoją prywatność i bezpieczeństwo podczas korzystania z WhatsAppa:

  • Zawsze używaj oficjalnych aplikacji WhatsApp z App Store lub Google Play, aby zapewnić poprawne działanie szyfrowania end-to-end.
  • Włącz powiadomienia bezpieczeństwa w telefonie, aby otrzymywać alerty, gdy kontakt ponownie zainstaluje WhatsApp, zmieni telefon albo doda lub usunie powiązane urządzenie.
  • Utwórz klucz dostępu, aby móc logować się do WhatsAppa za pomocą twarzy, odcisku palca lub blokady ekranu. Zapobiega to logowaniu się przez kogoś innego, nawet jeśli zdobędzie Twój kod SMS.
  • Dodaj adres e-mail, aby zweryfikować lub odzyskać konto, jeśli zostaniesz zablokowany. Upewnij się, że sama Twoja wiadomość jest zabezpieczona silnym hasłem i uwierzytelnianiem dwustopniowym.
  • Włącz kopie zapasowe zaszyfrowane end-to-end, aby chronić swoje czaty w iCloud lub na Dysku Google, tak aby nawet Apple, Google ani Meta nie mogli ich przeczytać. WhatsApp nie pozwala wybrać dostawcy przestrzeni dyskowej w chmurze. W przeciwnym razie powinieneś całkowicie wyłączyć kopie zapasowe czatów.
  • Nigdy nie udostępniaj nikomu swojego sześciocyfrowego kodu weryfikacyjnego. WhatsApp i Meta nigdy o niego nie zapytają.
  • Poproś swojego operatora komórkowego o dodanie kodu PIN lub hasła, zanim Twój numer będzie mógł zostać przeniesiony na inną kartę SIM. To znacznie utrudnia SIM swapping.
  • Pobieraj WhatsApp tylko z Google Play lub App Store i utrzymuj go — oraz swój system operacyjny na urządzeniu mobilnym i komputerze — zaktualizowany do najnowszej wersji.
  • Nigdy nie klikaj w linki ani nie instaluj aplikacji od nieznanych lub podejrzanych kontaktów na WhatsAppie. Jeśli nie masz pewności co do kontaktu, skontaktuj się z nim inną metodą, aby potwierdzić jego tożsamość.
  • Zabezpiecz swoje (nowe okno)ustawienia prywatności WhatsAppa(nowe okno), ograniczając, kto może dodawać Cię do grup oraz widzieć Twoje zdjęcie profilowe, status ostatniej aktywności i online, sekcję „o mnie” i linki w profilu.
  • Nie możesz całkowicie wyłączyć Meta AI w WhatsAppie, ale możesz podjąć kroki, aby uniemożliwić jej uczenie się zbyt wiele z Twojej aktywności — i chronić swoje wiadomości przed trafieniem do danych treningowych AI.

Wybierz bardziej prywatną aplikację do komunikacji

Mimo że możesz podjąć kroki, aby poprawić swoje bezpieczeństwo i ograniczyć to, co widzą inni użytkownicy WhatsAppa, nie zmienia to faktu, że Meta nadal polega na gromadzeniu informacji o użytkownikach, takich jak metadane, dla zysku. Jeśli ostatnie twierdzenia sygnalisty są dokładne, dostęp ten może być jeszcze szerszy, niż przyznaje firma. Biorąc pod uwagę historię naruszeń prywatności przez Metę, pewien sceptycyzm jest uzasadniony.

Jeśli martwisz się tym poziomem kontroli, rozważ bardziej prywatną alternatywę dla WhatsAppa, która zbiera znacznie mniej danych i nie jest powiązana z firmą Big Tech ukaraną przez regulatorów za jej model reklamowy „płać lub zgódź się”.