51 sayfalık dava dilekçesinde, kimliği açıklanmayan 'cesur muhbirlere' atıf yapılıyor. Bu kişilerin iddiasına göre, WhatsApp ve Meta çalışanları, şirket içi basit bir süreçle kullanıcı mesajlarını görüntüleyebiliyor ve böylece uçtan uca şifrelemeyi fiilen aşabiliyor.
WhatsApp’ın uçtan uca şifrelemesinin gerçekte uygulanmadığı iddiasıyla Meta’ya karşı ABD’de dava açıldı.
Meta ise suçlamaları kesin bir dille reddederek iddiaları “tamamen asılsız ve saçma” olarak nitelendirdi.
Bloomberg’in aktardığına göre dava, cuma günü San Francisco’daki bir federal mahkemede açıldı. Davacılar arasında Avustralya, Meksika ve Güney Afrika gibi ülkelerden WhatsApp kullanıcıları yer alıyor.
'Meta çalışanları mesajlara kolayca erişebiliyor' iddiası
51 sayfalık dava dilekçesinde, kimliği açıklanmayan “cesur muhbirlere" atıf yapılıyor. Bu kişilerin iddiasına göre, WhatsApp ve Meta çalışanları, şirket içi basit bir süreçle kullanıcı mesajlarını görüntüleyebiliyor ve böylece uçtan uca şifrelemeyi fiilen aşabiliyor.
Dava dilekçesinde şu ifadelere yer veriliyor: “Bir çalışanın, Meta’nın dahili sistemi üzerinden bir mühendise görev vermesi ve işini yapmak için WhatsApp mesajlarına erişmesi gerektiğini belirtmesi yeterli. Meta’nın mühendislik ekibi çoğu zaman herhangi bir denetim yapmadan erişim izni verir.”
İddiaya göre, bu erişim sağlandığında, çalışanın bilgisayarında yeni bir pencere veya araç (widget) açılıyor ve bu araç üzerinden herhangi bir WhatsApp kullanıcısının mesajları, kullanıcıya özel olan ancak tüm Meta ürünlerinde aynı kalan kullanıcı kimliği üzerinden görüntülenebiliyor.
Dava metninde, erişim sağlandıktan sonra ayrı bir şifre çözme adımına gerek olmadığı, mesajların neredeyse gerçek zamanlı olarak görüntülendiği ve Meta çalışanlarının, kullanıcıların sildiğini düşündüğü eski mesajlara dahi erişebildiği öne sürülüyor.
Meta: 'Uçtan uca şifreleme on yıldır Signal protokolüyle sağlanıyor'
Dava dilekçesi bu iddiaları destekleyecek teknik ayrıntılar sunmuyor.
WhatsApp’ın uçtan uca şifrelemesi ise uzun süredir uygulamanın en önemli güvenlik vaadi olarak öne çıkıyor. Bu sistemde mesajların şifreleme anahtarları yalnızca mesajı gönderen ve alan cihazlarda saklanıyor; Meta’nın bu anahtarlara erişimi bulunmuyor.
Meta, PCMag’e yaptığı açıklamada iddiaları sert bir dille reddederek, “WhatsApp mesajlarının şifrelenmediğine dair herhangi bir iddia kategorik olarak yanlış ve saçmadır. WhatsApp 10 yıldır Signal protokolüyle uçtan uca şifreleme kullanıyor. Bu dava tamamen hayal ürünü ve davacıların avukatları hakkında yaptırım talep edeceğiz," ifadelerini kullandı.
Buna karşın dava, Meta’yı çalışanlarına ağır gizlilik sözleşmeleri dayatmakla ve şirket içinde olup bitenlerin açığa çıkmasını engellemekle suçluyor. Dava dilekçesinde, bu sözleşmelerin yıllarca “gerçeği gizlediği” öne sürülüyor.
Önceki araştırmalar ve davalar
2021 yılında ProPublica, WhatsApp’ın destek ekibinin bazı kullanıcı mesajlarını görebildiğini ortaya koymuştu. Ancak bu mesajlar, kullanıcılar tarafından kötüye kullanım gerekçesiyle manuel olarak şikayet edilen içeriklerden oluşuyordu. Buna göre, eğer bir kullanıcı bir mesajı "Şikayet Et" özelliğiyle bildirirse, WhatsApp'ın uçtan uca şifreleme kalkanı o an için deliniyordu. Ayrıca bir mesaj şikayet edildiğinde, sadece o mesaj değil, bağlamı anlamak adına o konuşmadaki son 5 mesaj moderatörlerin önüne şifresiz bir şekilde düşüyordu.
Şirket, kullanıcı birini şikayet ederek o mesajı kendisi paylaştığı için bunun aslında uçtan uca şifrelemeyi bozmadığını, aksine topluluk standartlarını korumak için gerekli olduğunu savunmuştu.
Aynı araştırmada, WhatsApp’ın şifrelenmemiş bazı meta verileri -konum bilgileri dahil- kolluk kuvvetleriyle paylaşabildiği de belirtilmişti.
Bu son dava, WhatsApp’ın eski güvenlik yöneticisi Attaullah Baig’in, kullanıcı verilerini ilgilendiren “sistematik siber güvenlik zafiyetlerini” gündeme getirdiği için misillemeye uğradığını öne sürdüğü dava başvurusundan aylar sonra geldi.
Telegram ve Elon Musk da tartışmaya dahil oldu
Rakip firma Telegram'ın CEO’su Pavel Durov da konuya sosyal medya üzerinden yorum yaptı: “2026’da WhatsApp’ın güvenli olduğuna inanmak için beyin ölümünün gerçekleşmiş olması gerekir. WhatsApp’ın ‘şifreleme’ uygulamasını incelediğimizde birden fazla saldırı vektörü bulduk.”
Elon Musk da tartışmaya katılarak, “WhatsApp güvenli değil. Signal bile tartışmalı” dedi ve kullanıcıları X Chat’e çapırdı. Ancak Musk’ın paylaşımı, yanıltıcı olduğu gerekçesiyle eleştiriliyor. Bir toğluluk notunda, X Chat’in ileriye dönük gizlilik (forward secrecy) sunmadığı, özel anahtarların X tarafından kontrol edildiği ve meta veri toplandığı vurgulandı.
WhatsApp’tan son yanıt: Hukuk firması 'intikam' peşinde mi?
WhatsApp CEO’su Will Cathcart ise Musk’a yanıt vererek iddiaları reddetti: “Bu tamamen yanlış. WhatsApp mesajlarını okuyamaz çünkü şifreleme anahtarları kullanıcıların telefonlarında tutulur ve biz bu anahtarlara erişemeyiz. Bu, NSO’nun gazetecilere ve devlet yetkililerine yönelik casus yazılım saldırılarını savunan hukuk bürosu tarafından açılmış, hukuki dayanağı olmayan, sansasyon peşinde koşan bir dava.”
NSO Group’un casus yazılım (Pegasus) saldırılarına yönelik savunmasını üstlenen ve son dönemde WhatsApp’a karşı açtığı davayla gündeme gelen hukuk bürosu Quinn Emanuel Urquhart & Sullivan.
Diğer yandan Meta, NSO Group'a karşı açtığı ana davayı Mayıs 2025’te kazanmış ve mahkeme NSO’yu yaklaşık 170 milyon dolar tazminat ödemeye mahkum etmişti.
Davanın sebebi, NSO'nun geliştirdiği Pegasus casus yazılımının, WhatsApp'ın sesli arama özelliğindeki bir güvenlik açığını (zero-day vulnerability) kullanarak 1400'den fazla kullanıcının telefonuna gizlice yüklenmiş olmasıydı.
Yani WhatsApp, NSO'ya "Bizi hacklediniz" davası açıp kazanmışken; NSO'nun avukatları şimdi "WhatsApp zaten güvenli değil" diyerek kullanıcılar üzerinden karşı dava açmış oldu.
Uçtan uca şifreleme nedir ve WhatsApp mesajları nasıl korunur?
Meta, popüler mesajlaşma uygulamasına uçtan uca şifreleme özelliğini ilk olarak 2014'te getirmeye başladı. Bugün kullanıcılar uygulamada başka bir kişiyle sohbet ederken bu şifreleme özelliği kullanılıyor.
Uçtan uca şifreleme özelliği, gönderilen içeriklerin yalnızca gönderen ve teslim alan kişi tarafından okunabilmesini ve dinlenebilmesini sağlıyor. Böylece WhatsApp dahil olmak üzere hiçbir üçüncü taraf, mesajların içeriğine erişemiyor.
Bu özellik kabaca şöyle işliyor: Mesajlaşan taraflar için birer çift anahtar üretiliyor. Gönderilen mesajlar şifreleniyor ve bu şifre yalnızca alıcının elindeki anahtarla açılabiliyor. Yani üçüncü taraflar bu anahtara sahip olmadığı için mesajın içeriğine erişemiyor.
Daha net anlaşılabilmesi için X ve Y adlı iki kullanıcı hayal edelim. X ve Y mesajlaşırken WhatsApp gibi uçtan uca şifrelemeli bir uygulama kullanıyor olsun. Mesajları şifreleyebilen ve şifresini çözebilen anahtarlar, iki kullanıcının da cihazında kayıtlı kalır. Uygulama X'in telefonunda bir anahtar ve Y'nin telefonunda bir anahtar kaydeder. X'in telefonu mesajı anahtarla şifreler, ardından şifrelenmiş mesajı Y'nin telefonuna iletir. Y'nin telefonu anahtarı otomatik olarak devreye sokar ve mesajın şifresini çözer. Böylece Y, mesajın içeriğini görebilir.