In het weekend publiceerde een consortium van internationale nieuwszenders hun bevindingen van een onderzoek naar het gebruik van Pegasus, de spyware van het geheime miljarden dollars kostende Israëlische bewakingsbedrijf NSO-groep.
De berichten van de Guardian , de Washington Post en 15 andere mediaorganisaties zijn gebaseerd op een lek van tienduizenden telefoonnummers die het doelwit lijken te zijn van Pegasus. Hoewel de cijfers op de lijst niet noodzakelijkerwijs betekenen dat apparaten die bij dat nummer horen, zijn geïnfecteerd met de spyware, konden de verkooppunten de gegevens gebruiken om vast te stellen dat journalisten en activisten in veel landen het doelwit waren – en in sommige gevallen met succes gehackt — door de spyware.
De lekken geven de reikwijdte aan van wat cybersecurity-verslaggevers en experts al jaren zeggen: dat hoewel de NSO Group beweert dat zijn spyware is ontworpen om criminelen en terroristen aan te vallen, de daadwerkelijke toepassingen ervan veel breder zijn. (Het bedrijf heeft in reactie op het onderzoek een verklaring vrijgegeven waarin het ontkent dat de gegevens zijn gelekt en dat de resulterende rapportage waar is) .
Mijn collega Patrick Howell O'Neill brengt al enige tijd verslag uit over claims tegen de NSO-groep, die "in verband zijn gebracht met zaken als de moord op de Saoedische journalist Jamal Khashoggi, het aanvallen van wetenschappers en campagnevoerders die aandringen op politieke hervormingen in Mexico, en Spaans overheidstoezicht op Catalaanse separatistische politici” , schreef hij in augustus 2020 . In het verleden heeft NSO deze beschuldigingen ontkend, maar in bredere zin ook betoogd dat het niet verantwoordelijk kan worden gehouden als overheden de technologie die het aan hen verkoopt, misbruiken.
Het centrale argument van het bedrijf, schreven we destijds, is er een "dat gebruikelijk is onder wapenfabrikanten: het bedrijf is de maker van een technologie die overheden gebruiken, maar het valt zelf niemand aan, dus het kan niet verantwoordelijk worden gehouden .”
Lekken zijn een belangrijk hulpmiddel om inzicht te krijgen in de manier waarop Pegasus wordt gebruikt, deels omdat het voor onderzoekers zo moeilijk is om de software op apparaten te herkennen. In maart legde een onderzoeker van de cyberbeveiligingswaakhond Citizen Lab – die zich toelegde op het bestuderen van de software – uit hoe de strenge beveiligingsmaatregelen van Apple NSO in staat hadden gesteld de iPhone-beveiliging te doorbreken, maar onderzoekers te blokkeren.
"Het is een tweesnijdend zwaard", zegt Bill Marczak, senior onderzoeker bij Citizen Lab. "Je gaat veel van het gespuis buiten de deur houden door het moeilijker te maken om iPhones kapot te maken. Maar de 1% van de tophackers zal een weg naar binnen vinden en als ze eenmaal binnen zijn, beschermt het ondoordringbare fort van de iPhone hen.”
Het is niet de eerste keer dat NSO verwikkeld raakt. Facebook klaagt momenteel NSO aan wegens beschuldigingen dat Pegasus de infrastructuur van WhatsApp heeft gemanipuleerd om meer dan 1.400 mobiele telefoons te infecteren. Facebook heeft in gerechtelijke documenten gezegd dat zijn eigen onderzoek meer dan 100 mensenrechtenverdedigers, journalisten en publieke figuren heeft geïdentificeerd die het doelwit waren van Pegasus.
Afgelopen augustus vertelde Shalev Hulio, CEO en medeoprichter van de NSO Group, aan MIT Technology Review dat hij wist dat zijn bedrijf “met goede reden was beschuldigd van niet transparant genoeg te zijn”, en dat zijn industrie meer verantwoordelijk zou moeten worden gehouden voor de geheimhouding ervan, vooral omdat hun methoden worden moeilijker te detecteren door externe waakhonden en onderzoekers.
Zoals The Post opmerkt, geeft NSO Groep geen details over haar klanten, onder vermelding van vertrouwelijkheid. Twee weken geleden bracht het bedrijf zijn eerste " Transparency and Accountability Report " uit, waarin het onthulde dat het 60 klanten heeft in 40 landen. De meeste klanten zijn inlichtingendiensten of wetshandhavers.
