Об этом они рассказали на конференции Real World Crypto. Любой пользователь, который имеет доступ к серверам приложения, может внедрять в приватные чаты новых участников без одобрения администраторов. После добавления нового юзера он получает ключи шифрования от всех пользователей и, соответственно, возможность читать все последующие сообщения (но не предыдущие).
WhatsApp использует end-to-end шифрование, согласно которому переписка пользователей, в том числе участников приватных чатов, хранится на их устройствах, а не на серверах. The Wired отмечает, что доступ к серверам могут получить только сотрудники компании, правительство и продвинутые хакеры.
Глава службы безопасности Facebook в Twitter написал, что участники приватного чата получают сообщения о новых участниках и могут самостоятельно решить, продолжать ли разговор в этом случае.