Salı günü bir federal jüri, NSO Group’un meta sahip olduğu Whatsapp WhatsApp’a yaklaşık 168 milyon dolarlık para hasarları ödemesi gerektiğine karar verdi, federal bir hakimin İsrail şirketinin Pegasus casus yazılımlarını dağıtmak için WhatsApp sunucularını küresel olarak 1.400’den fazla kişiyi hedefleyen ABD yasalarını ihlal ettiğini belirtti.
Whatsapp başlangıçta 2019 yılında NSO Group’a karşı dava açarak, ikincisini Pegasus’u gazetecileri, insan hakları aktivistlerini ve siyasi muhalifleri hedeflemek için kullanmakla suçladı.
Duruşmanın bir parçası olarak yayınlanan mahkeme belgeleri, kampanya sırasında 456 Meksikalı hedeflendiğini, ardından Hindistan’da 100, 82 Bahreyn’de, Fas’ta 69 ve Pakistan’da 58 kurban izlediğini ortaya koydu. Toplamda, 51 farklı ülkedeki bireyler hedeflendi.
Saldırılar, casus yazılımların dağıtımını tetiklemek için WhatsApp’ın ses arama özelliğinde (CVE-2019-3568, CVSS puanı: 9.8) daha sonra sıfır gün güvenlik açığından yararlandı.
Aralık 2024’te yayınlanan bir kararda, Birleşik Devletler Bölge Hakimi Phyllis J. Hamilton, Pegasus’un Mayıs 2019’daki ilgili zaman diliminde Whatsapp’ın California merkezli sunucularından 43 kez gönderildiğini kaydetti.
Meta’daki WhatsApp başkanı Will Cathcart, “Mahkeme Aralık ayında Amerika Birleşik Devletleri’nde hem federal hem de eyalet yasalarını kırdıklarını tespit ettiğinde, casus yazılım geliştiricisi NSO’ya karşı davamız tarih yazdı.” Dedi.
Diyerek şöyle devam etti: “Ve bugün jürinin NSO’yu cezalandırma kararı, Amerikan şirketlerine ve dünya çapındaki kullanıcılarımıza yönelik yasadışı eylemlerine karşı casus yazılım endüstrisine karşı kritik bir caydırıcı.”
Cathcart, şirketin bir sonraki adımının, NSO’nun WhatsApp’ı tekrar hedeflemesini önlemek için bir mahkeme emrini güvence altına almak olduğunu ekleyerek, insanları dünya çapında bu tür saldırılara karşı savunmak için çalışan dijital haklar kuruluşlarına bağışta bulunacağını da sözlerine ekledi.
Jüri, 167.254.000 dolarlık cezai zararlara ek olarak, WhatsApp mühendislerinin saldırı vektörlerini engellemek için yapılan önemli çabalar için WhatsApp’a 444.719 dolarlık telafi edici zararlar ödemesi gerektiğini belirledi.
Geliştirme, NSO Group’u sivil toplum üyelerinde sekmeler tutmak için müşterilere güçlü gözetim yazılımını lisanslamak için tekrar tekrar NSO Group’u arayan gizlilik savunucuları ve insan hakları kuruluşları için büyük bir zaferdir.
NSO Group, müşterilerinin Pegasus ile ne yaptıklarına dair görünürlüğe sahip olmadığını iddia ederek sorumluluktan kaçınmaya çalışırken, Yargıç Hamilton “amacının müşterilerinin terörizm ve çocuk sömürüsüyle savaşmasına yardımcı olmak olduğunu ve öte yandan, müşterinin teknolojiyle, tavsiye ve destek dışında ne yaptıklarıyla hiçbir ilgisi olmadığını” belirtti.
Meta, “NSO, anlık mesajlaşma, tarayıcılar ve işletim sistemleri de dahil olmak üzere kötü amaçlı yazılım kurulum yöntemleri geliştirmek için yılda on milyonlarca dolar harcadığını ve casus yazılımlarının bugüne kadar iOS veya Android cihazlarından ödün verebildiğini itiraf etmek zorunda kaldı.” Dedi.
Adliye Haberleri ve Politico ile paylaşılan bir açıklamada NSO Group, teknolojisinin ciddi suç ve terörizmi önlemede önemli bir rol oynadığını ve uygun yasal çözüm yollarını takip etmeyi planladığını söyledi. Şirket, 2021 yılında ABD hükümeti tarafından “kötü niyetli siber faaliyetlere” katıldığı için onaylandı.
NSO Group’a karşı benzer bir dava açan Apple, Eylül 2024’te devam etmenin güvenlik programının hassas ayrıntılarını ortaya çıkarabileceğini söyleyerek düşürdü.