Uma ação judicial coletiva num tribunal federal dos EUA(nova janela) recentemente apresentada alega que a promessa do WhatsApp de encriptação de ponto a ponto (E2EE) é enganadora. A queixa alega que os funcionários da Meta conseguem aceder ao conteúdo das mensagens do WhatsApp através de sistemas internos, apesar das garantias repetidas de que «nem mesmo o WhatsApp(nova janela)» consegue ler as mensagens dos utilizadores.
Leia o processo completo aqui:
O processo, apresentado a 23 de janeiro no Distrito do Norte da Califórnia, faz alegações abrangentes.
Segundo a queixa, denunciantes anónimos alegam que os funcionários da Meta podem solicitar acesso a mensagens do WhatsApp através de um sistema interno de tarefas. Uma vez aprovado, a queixa alega que as mensagens podem ser visualizadas em tempo quase real e historicamente, sem um passo de desencriptação adicional.
O processo argumenta que este alegado acesso contradiz as declarações públicas do WhatsApp, materiais de marketing e testemunhos a legisladores afirmando que o conteúdo das mensagens é acessível apenas aos remetentes e destinatários.
A Meta nega as alegações. Numa declaração à Bloomberg,(nova janela) o porta-voz da Meta, Andy Stone, disse: «Qualquer alegação de que as mensagens do WhatsApp das pessoas não são encriptadas é categoricamente falsa e absurda. O WhatsApp tem sido encriptado de ponto a ponto utilizando o protocolo Signal há uma década. Este processo é uma obra de ficção frívola.»
É importante distinguir entre alegações e factos estabelecidos. A queixa não inclui provas técnicas que demonstrem uma porta das traseiras criptográfica ou que provem de outra forma que a encriptação do WhatsApp foi comprometida. Nesta fase, as alegações permanecem não provadas.
Reportagens passadas mostraram que o WhatsApp consegue aceder a mensagens que os utilizadores reportam manualmente por abuso, e que recolhe metadados extensivos(nova janela). Essa reportagem, no entanto, não apoia alegações de acesso rotineiro ou universal ao conteúdo das mensagens.
Ainda assim, o caso levanta uma questão familiar e desconfortável: quando uma plataforma é de código fechado e controlada por uma única empresa, podem os utilizadores confiar em última análise em garantias que não podem verificar independentemente?
A encriptação de ponto a ponto é uma garantia técnica de que o conteúdo das mensagens é legível apenas pelo remetente e pelo destinatário pretendido, porque as chaves necessárias para desencriptar mensagens existem apenas nos dispositivos dos utilizadores e nunca são acessíveis a mais ninguém.
À medida que este caso se desenrola, reforça um princípio fundamental da privacidade: a encriptação deve ser verificável, não uma questão de confiança.
