Spywaremaker Pegasus aansprakelijk voor aanvallen op 1.400 WhatsApp-gebruikers

De Amerikaanse rechtbank heeft vastgesteld dat NSO Group, het bedrijf achter Pegasus-spyware, de apparaten van 1.400 gebruikers heeft aangevallen via WhatsApp. WhatsApp heeft in 2019 een rechtszaak aangespannen tegen NSO Group, omdat het Pegasus gebruikte om de telefoons van journalisten, activisten en overheidsfunctionarissen te bespioneren.

Voor degenen die het niet weten: het Israëlische cyberwapenbedrijf NSO Group heeft in 2011 Pegasus-spyware ontwikkeld. Pegasus kan op afstand telefoons infecteren en berichten, oproepen en persoonlijke gegevens stelen. Eenmaal geïnstalleerd op een apparaat, kan het de gebruiker bespioneren zonder dat deze het weet, waardoor het een van de gevaarlijkste tools is voor inbreuk op de privacy.

De Amerikaanse rechtbank achtte NSO Group aansprakelijk voor het aanvallen van WhatsApp-gebruikers met Pegasus-spyware

De rechter, Phyllis Hamilton, oordeelde dat NSO Group de federale Computer Fraud and Abuse Act (CFAA) en de Comprehensive Computer Data Access and Fraud Act (CDAFA) van Californië had overtreden. De rechter oordeelde ook dat het bedrijf de servicevoorwaarden van WhatsApp had geschonden. Deze uitspraak kwam na een vijf jaar durende juridische strijd. De rechtbank moet nog bepalen hoeveel NSO aan schadevergoeding moet betalen.

Begin 2024 gaf Hamilton NSO Group de opdracht om WhatsApp de broncode van zijn spyware te verstrekken. Maar in haar uitspraak zei ze dat het bedrijf dit herhaaldelijk had nagelaten, wat een belangrijke reden was om het verzoek van WhatsApp om sancties tegen NSO Group in te willigen. De rechtszaak werd aangespannen in Californië, maar NSO Group stond een Israëlische burger alleen toe de broncode in Israël te bekijken, wat de rechter omschreef als ‘gewoonweg onuitvoerbaar’.

Will Cathcart, het hoofd van WhatsApp, schreef een bericht op Threads, “Deze uitspraak is een enorme overwinning voor de privacy. We hebben onze zaak vijf jaar lang gepresenteerd omdat we er vast van overtuigd zijn dat spywarebedrijven zich niet achter immuniteit kunnen verschuilen of de aansprakelijkheid voor hun onwettige handelingen kunnen ontlopen. Bewakingsbedrijven moeten ervan op de hoogte zijn dat illegale spionage niet wordt getolereerd.”

De controverse over Pegasus-spyware

Pegasus-spyware is controversieel omdat de makers het oorspronkelijk hebben ontworpen om regeringen te helpen misdaad en terrorisme te bestrijden. Maar regeringen over de hele wereld hebben het naar verluidt gebruikt om journalisten, oppositieleiders en mensenrechtenactivisten te bespioneren. Dit misbruik heeft grote vragen opgeroepen over de ethiek van technologie en het gevaar voor de privacy. Vóór 2019 werd het verspreid via berichten met schadelijke links. Maar nu is het krachtiger door gebruik te maken van ‘zero-day’-kwetsbaarheden in telefoons.

Thijs Van der Does