<update 23.1> Dieser Bericht ist umstritten. Zahlreiche Security-Experten halten bei technosociology.org die Darstellung von The Guardian aus der Vorwoche für verantwortungslos.</update>
Serverseitig können Chats mit Nutzern, etwa wenn diese offline sind, zur neuerlichen Verschlüsselung mit einem neuen Schlüssel gezwungen werden. Diese Mitteilungen liegen dann unverschlüsselt offen und können – auch von staatlichen Stellen – auf den Servern von Facebook gelesen werden. Der Empfänger bekommt nichts mit von einer neuerlichen Verschlüsselung. Der Sender wird lediglich bei aktivierten Sicherheitswarnungen im Nutzerkonto über einen neuen Verschlüsselungs-Key informiert: Settings – Account – Security – Show Security Notifications. Diese Einstellung ist im Werks-Zustand ausgeschaltet.
Die Signal-App kommt ohne die Sicherheitslücke. Bei ihr scheitert die Zustellung, wenn der Sender einen neuen Schlüssel nutzt. Bei WhatsApp hingegen handelt es sich um expected behaviour, das seitens Facebook so gewünscht ist. Trotz vorgeblicher Sicherheit lassen sich damit komplette Konversationen von Zielpersonen bei Facebook mitschneiden.