ABD’li bir federal yargıç, İsrailli casus yazılım üreticisi NSO Group’un, Pegasus casus yazılımını en az 1.400 cihaza dağıtmak için WhatsApp sıfır günlerini kullanarak ABD bilgisayar korsanlığı yasalarını ihlal ettiğine karar verdi.
NSO Group, Pegasus’u hükümetlere yönelik, müşterilerin mağdurların faaliyetlerini izlemesine ve ele geçirilen cihazlardan veri çıkarmasına olanak tanıyan bir gözetim yazılımı olarak pazarlıyor.
WhatsApp’tan Will Cathcart, “Bu karar gizlilik açısından büyük bir kazanç” dedi. “Davamızı sunmak için beş yıl harcadık çünkü casus yazılım şirketlerinin dokunulmazlığın arkasına saklanamayacağına veya yasa dışı eylemlerinin sorumluluğunu üstlenemeyeceğine kesinlikle inanıyoruz.”
Cathcart ayrıca casus yazılım firmaları için hesap verebilirliğin önemini vurguladı ve şunları söyledi: “Gözetim şirketleri, yasa dışı casusluğa tolerans gösterilmeyeceği konusunda dikkatli olmalıdır.”
Meta CEO’su Mark Zuckerberg, “Bunun için mücadele ettiğimizden ve WhatsApp’ın gizlilik ve şifreleme konusunda liderliğini sürdürmesinden gurur duyuyoruz” dedi.
Geçen hafta alınan karar, NSO Group’u Bilgisayar Sahtekarlığı ve Kötüye Kullanım Yasasını (CFAA) ve Kaliforniya Bilgisayar Veri Erişimi ve Sahtekarlık Yasasını (CDAFA) ihlal etmekle suçlayarak beş yıl önce dava açan Meta’nın sahibi olduğu WhatsApp için önemli bir zafere işaret ediyor.
Mahkeme zaten WhatsApp’ın lehine karar vermiş olsa da, ödenecek tazminat miktarı gelecek yılın başlarında belirlenecek.
Hack’ler dava açıldıktan sonra da devam etti
Geçen ay sunulan mahkeme belgeleri, NSO’nun Pegasus’u sıfır tıklama saldırılarında dağıtmak için daha önce bilinmeyen “Erised” adlı saldırı da dahil olmak üzere çok sayıda sıfır gün açıklarını kullanarak WhatsApp’ın güvenlik açıklarından yararlandığı iddiasını ortaya çıkardı. Belgelerde ayrıca NSO geliştiricilerinin, federal ve eyalet yasalarını ihlal ederek casus yazılım yükleyen kötü amaçlı mesajlar gönderebilecek araçlar oluşturmak için WhatsApp’ın kodunda tersine mühendislik yaptığı belirtildi.
NSO’nun, WhatsApp’ın Ekim 2019’da dava açmasından sonra bile, WhatsApp sunucu yamaları Mayıs 2020’den sonra erişimi engelleyene kadar, istismarları kullanmaya ve müşterilere sunmaya devam ettiği iddia ediliyor.
Ancak şirket, Pegasus casus yazılım platformunu kullanarak elde edilen verilere erişemediğini iddia ederek müşterilerinin eylemlerinin sorumluluğunu reddetti.
Bir NSO sözcüsü geçen ay BleepingComputer’a verdiği demeçte, “NSO, sistemin yalnızca müşterilerimiz tarafından işletildiğini ve ne NSO ne de çalışanlarının sistem tarafından toplanan istihbarata erişimi olmadığını defalarca ayrıntılı olarak belirttiğimiz önceki açıklamalarının arkasında duruyor.” dedi.
Bu iddialara rağmen Pegasus, ABD Dışişleri Bakanlığı çalışanları da dahil olmak üzere yüksek profilli kişileri hedef alan bilgisayar korsanlığı olaylarıyla ilişkilendirilmiştir. Birleşik Krallık hükümet yetkilileriKatalan politikacılar, Finlandiyalı diplomatlar, gazeteciler ve aktivistler.
2021’de ABD Ticaret Bakanlığı Sanayi ve Güvenlik Bürosu (BIS), gazetecileri, hükümet yetkililerini ve aktivistleri hedef almak için kullanılan casus yazılımları tedarik ettiği için NSO Group’a ve başka bir İsrail firması Candiru’ya yaptırım uyguladı. Aynı yıl Apple, iPhone’ları hacklemek için Pegasus’u kullandığı için NSO’ya dava açtı.