WhatsApp wygrał sprawę przed ławą przysięgłych, uzyskując odszkodowanie w wysokości 168 mln dolarów od izraelskiej firmy NSO Group, twórcy oprogramowania szpiegowskiego Pegasus, za wykorzystanie luki w zabezpieczeniach zaszyfrowanej platformy komunikacyjnej i sprzedaż tej technologii klientom, którzy używali jej do inwigilacji dziennikarzy, aktywistów i dysydentów politycznych.
To pierwsza sprawa w sądzie federalnym w Kalifornii, w której producent oprogramowania szpiegowskiego został pociągnięty do odpowiedzialności za naruszenie integralności technicznej platform działających na nowoczesnych smartfonach. Orzeczenie to stanowi zagrożenie dla rozwijającego się przemysłu, który opiera się na wykorzystywaniu mikroskopijnych luk w celu osiągania ogromnych zysków.
„Decyzja ławy przysięgłych, by zmusić NSO do zapłaty odszkodowania, jest kluczowym środkiem odstraszającym dla tej złośliwej branży za nielegalne działania wymierzone w amerykańskie firmy” – poinformowała w oświadczeniu spółka Meta, właściciel WhatsAppa.
Pegasus kontra Big Tech – WhatsApp przeciera szlak dla Apple i Google
NSO zapowiedziało odwołanie się od wyroku. W komunikacie firma napisała: „Głęboko wierzymy, że nasza technologia odgrywa kluczową rolę w zapobieganiu poważnym przestępstwom i aktom terroryzmu, i jest wykorzystywana w sposób odpowiedzialny przez uprawnione agencje rządowe”.
Sukces WhatsAppa w tej sprawie może otworzyć drogę do dalszych pozwów – np. ze strony Apple, Amazona, Google (Android) i innych globalnych firm, których platformy Pegasus naruszał lub próbował naruszyć w celu instalacji swojego oprogramowania.
Przed sądem przedstawiciele NSO zeznali, że firma wydaje rocznie od 50 do 60 mln dolarów na rozwój nowych „wektorów” – sposobów instalacji szpiegowskiego oprogramowania. Celem są wszystkie powszechnie używane platformy, w tym najnowsze wersje systemów iOS (Apple) i Android.
WhatsApp podkreślił, że „nie był jedynym celem NSO” oraz że „te złośliwe technologie stanowią zagrożenie dla całego ekosystemu”.
„Dyktatorzy szpiegują dzięki NSO” – ława przysięgłych nie miała wątpliwości
„Financial Times” cytuje Johna Scotta-Railtona z Citizen Lab przy Uniwersytecie w Toronto, organizacji nadzorującej działania NSO, która pomogła WhatsAppowi w dochodzeniu i ochronie osób z kręgu społeczeństwa obywatelskiego. Powiedział on: „Po latach sztuczek i opóźnień ławie przysięgłych wystarczył jeden dzień narady, by zrozumieć sedno sprawy: działalność NSO polega na hakowaniu amerykańskich firm po to, by dyktatorzy mogli szpiegować dysydentów”.
Największe firmy technologiczne na świecie wsparły pozew WhatsAppa, składając opinie prawne na jego korzyść.
Pegasus: pionier inwigilacji i technologiczna broń XXI wieku
Pegasus był uznawany za pioniera w branży, która rozwijała się – głównie w Izraelu – przez prawie dekadę. Oprogramowanie komercjalizowało luki w popularnym oprogramowaniu, umożliwiając klientom naruszanie prywatności użytkowników smartfonów na całym świecie – omijając szyfrowanie i zdalnie aktywując mikrofony i kamery w celu rejestrowania prywatnych rozmów.
NSO początkowo działało w cieniu – firma zatrudniała byłych żołnierzy izraelskiego wywiadu sygnałowego, oferując im sześciocyfrowe pensje za tworzenie oprogramowania dorównującego technologiom wojskowym Izraela.
W 2019 roku, w wyniku wykupu przez fundusz private equity, wartość NSO przekroczyła 1 miliard dolarów. W 2018 roku firma osiągnęła przychody w wysokości 251 mln dolarów.
WhatsApp kontra szpiegowska machina NSO
Sprzedaż Pegasusa była postrzegana jako dyplomatyczne narzędzie do otwierania relacji Izraela z państwami Zatoki Perskiej – NSO podpisało lukratywne kontrakty z krajami mającymi na koncie łamanie praw człowieka, m.in. Arabią Saudyjską i Zjednoczonymi Emiratami Arabskimi, które wtedy nie uznawały Izraela, a także z Rwandą i Meksykiem.
W 2019 roku „Financial Times” ujawnił, że NSO wykorzystywało lukę w WhatsAppie, umożliwiającą klientom wykonanie jednego nieodebranego połączenia na telefon ofiary, co skutkowało instalacją Pegasusa – umożliwiając zdalne sterowanie urządzeniem, usuwanie śladu połączenia i dostęp do całej zawartości, od zdjęć po historię lokalizacji oraz zaszyfrowane wiadomości w aplikacjach takich jak Signal.
WhatsApp natychmiast załatał lukę, ale także przeprowadził analizę pozostawionych śladów, identyfikując setki ofiar, które powiadomił o ataku – w tym co najmniej 100 osób z kręgu społeczeństwa obywatelskiego: prawników zajmujących się prawami człowieka, działaczy wolności słowa i czołowych polityków opozycji.
Ujawnione nadużycia, czarna lista i pozew. Kulisy śledztwa WhatsAppa
Przed ujawnieniem tej bazy danych przez WhatsAppa, przy wsparciu Citizen Lab, NSO twierdziło, że sprzedaje swoje oprogramowanie odpowiedzialnym klientom, którzy są kontraktowo zobowiązani do używania go wyłącznie w celu walki z przestępczością i terroryzmem, a przypadki nadużyć są rzadkie.
„Potem pojawił się WhatsApp, który okazał się godnym przeciwnikiem dla szkolnego łobuza. WhatsApp nie odpuścił i doprowadził tę sprawę do końca. Ogromne uznanie dla ich kierownictwa za determinację”, powiedział Scott-Railton.
Skala nadużyć ujawniona podczas dochodzenia skierowała uwagę mediów i administracji Bidena na NSO i konkurencyjne firmy, co skutkowało wpisaniem NSO na czarną listę oraz próbami uregulowania branży oprogramowania szpiegowskiego.
Firma Meta, właściciel WhatsAppa, zdecydowała się pozwać NSO, zapowiadając, że upubliczni wszystkie informacje zdobyte w toku śledztwa prawnego i będzie domagać się odpowiedzialności za atak.
Proces dotyczył wyłącznie wysokości odszkodowania – już w grudniu sąd uznał, że NSO naruszyło przepisy dotyczące nielegalnego włamania oraz warunki korzystania z usług WhatsAppa.
J.S.
