En historisk dom har ramt israelske NSO Group, som står bag den kontroversielle Pegasus-spyware, som har været brugt til at overvåge journalister, aktivister og oppositionelle i adskillige lande.
Et amerikansk nævningeting har nemlig besluttet, at NSO Group skal betale i alt 168 millioner dollar – svarende til omkring 1,15 milliarder kroner – til WhatsApp for at have brugt appens egne servere som kanal til at inficere brugere med spyware, skriver The Hacker News.
Sagen blev anlagt af WhatsApp i 2019 og er sidenhen blevet fulgt tæt af både it-sikkerhedseksperter og menneskerettighedsorganisationer verden over.
Brugte WhatsApp-opkald til at installere spyware
NSO Group udnyttede en sårbarhed i WhatsApps opkaldsfunktion til at installere Pegasus-spyware på ofrenes telefoner, uden at ofrene nødvendigvis besvarede opkaldet.
Det skete i maj 2019 og involverede mindst 43 angreb via WhatsApps servere i Californien, fremgår det af retsdokumenterne.
Ofrene tæller ifølge sagens akter personer i 51 lande, blandt andet 456 i Mexico, 100 i Indien, 82 i Bahrain, 69 i Marokko og 58 i Pakistan.
Pegasus-spywaren giver adgang til beskeder, mikrofon, kamera og andre følsomme data på både iOS- og Android-enheder og har været genstand for global kritik for brugen mod civile.
”Et vigtigt signal til hele spyware-industrien”
WhatsApp-topchef Will Cathcart kalder afgørelsen "historisk" og understreger, at dommen ikke kun handler om erstatning, men om at sende et klart signal.
"Juryens kendelse i dag er en vigtig advarsel til hele spyware-industrien om, at ulovlige angreb på brugere og virksomheder vil få konsekvenser," skriver han i et opslag på X.
WhatsApp oplyser desuden, at man vil søge en dommerkendelse, der forbyder NSO Group at angribe appens brugere fremover og at selskabet vil donere penge til organisationer, der arbejder for digitale rettigheder globalt.
Af det samlede beløb er 167,2 millioner dollar udmålt som straf, mens knap 445.000 dollar dækker WhatsApps tekniske og sikkerhedsmæssige omkostninger i forsøget på at stoppe angrebene.
NSO fralægger sig ethvert ansvar
NSO Group har tidligere forsøgt at fralægge sig ansvaret ved at hævde, at man ikke har indsigt i, hvad kunderne bruger selskabets software til. Men den forklaring købte retten altså ikke.
Dommeren afviste argumentet og bemærkede, at NSO på den ene side hævder at bekæmpe kriminalitet og terrorisme, men på den anden side nægter at tage ansvar for kundernes brug af værktøjerne.
NSO har meddelt, at man agter at udfordre dommen gennem de ”tilgængelige juridiske kanaler” og fastholder, at teknologien spiller en vigtig rolle i bekæmpelsen af alvorlig kriminalitet.
Selskabet blev i 2021 sat på en amerikansk sanktionsliste for dets aktiviteter inden for cyberspionage.
Dommen kan betyde, at andre ofre for den berygtede software kan sagsøge selskabet eller genoptage tidligere søgsmål.
Apple lagde også oprindeligt sag an mod NSO, men opgav sagen i september 2024, angiveligt for at undgå at afsløre følsomme sikkerhedsprocedure i retten.