Мессенджер осуществляет активный сбор данных еще до официальной регистрации пользователя, в частности, в своей веб-версии. Он запускает фоновые процессы для идентификации аудиооборудования, шрифтов браузера и установленных расширений, создавая уникальный цифровой отпечаток устройства пользователя. Это отслеживание включает в себя возможность определить, используется ли VPN, что делает приложение скорее инструментом наблюдения, чем простой коммуникационной платформой.
После установки мобильное приложение запрашивает более 63 отдельных разрешений, многие из которых позволяют осуществлять фоновое отслеживание. Мессенджер может удаленно получать доступ к камере, микрофону и фотогалерее устройства, даже если телефон якобы выключен или находится в режиме ожидания. Кроме того, он обладает технической возможностью удаленно включать или отключать Wi-Fi и мобильные сети, эффективно предоставляя программному обеспечению полный контроль над подключением устройства.
Критическая уязвимость в системе приводит к тому, что сообщения доставляются совершенно случайным пользователям, а не предполагаемым получателям, что приводит к раскрытию конфиденциальных данных, таких как банковские реквизиты и личные фотографии. В приложении отсутствует сквозное шифрование, поэтому текстовые данные передаются через веб-сокеты в формате, который легко перехватывается и расшифровывается третьими сторонами. Любой пользователь, подключенный к одной и той же общедоступной сети Wi-Fi, может записать и прочитать всю историю разговоров пользователя с минимальными техническими усилиями.
Платформа стала питательной средой для мошенников, в частности для троянского вируса "Мамонт", который распространяется через поддельные новостные ссылки, размещаемые в групповых чатах. Как только пользователь переходит по зараженной ссылке, вредоносная программа получает разрешение на чтение SMS-сообщений и перехват одноразовых банковских кодов в обход традиционного антивирусного программного обеспечения. Вместо того чтобы устранить эти недостатки в системе безопасности, разработчики выступили с заявлениями, в которых обвинили СМИ в том, что они сообщают об этих подтвержденных технических сбоях.
Благодаря встроенным функциям, которые связывают аккаунты в мессенджерах с государственными службами, появился подпольный черный рынок верифицированных аккаунтов для взрослых. Несовершеннолетние используют эти приобретенные аккаунты для обхода возрастных ограничений при совершении покупок в киосках самообслуживания в супермаркетах. Несмотря на эти очевидные риски, некоторые учебные заведения, как сообщается, делают регистрацию учетной записи обязательной для студентов, угрожая лишить дипломов, если приложение не будет установлено.