Атака шпионского ПО на WhatsApp – Группа NSO оштрафована на 168 миллионов долларов

В знаковом решении федеральное жюри США в Калифорнии во вторник приказало израильской компании по разработке шпионского ПО NSO Group выплатить почти 168 миллионов долларов в качестве штрафных убытков компании Meta Platforms Inc., материнской компании WhatsApp.

Кроме того, компания также должна будет выплатить 444,719 долларов в качестве компенсационных убытков Meta за значительные усилия, которые инженеры WhatsApp приложили для блокировки векторов атаки.

Это решение является результатом использования NSO Group шпионского ПО Pegasus для взлома примерно 1,400 пользователей WhatsApp в течение двух недель между апрелем и маем 2019 года. Это решение устанавливает важный прецедент для привлечения разработчиков шпионского ПО к ответственности за несанкционированные действия по слежке.

“Вердикт по делу WhatsApp сегодня является важным шагом вперед для конфиденциальности и безопасности как первая победа против разработки и использования незаконного шпионского ПО, угрожающего безопасности и конфиденциальности всех”, - заявила Meta в своем заявлении после объявления решения.

“Сегодня решение жюри заставить NSO, печально известного иностранного торговца шпионским ПО, выплатить убытки является критическим сдерживающим фактором для этой злонамеренной отрасли против их незаконных действий, направленных на американские компании и конфиденциальность и безопасность людей, которых мы обслуживаем.”

Предыстория дела

Иск, инициированный WhatsApp 29 октября 2019 года в Окружном суде Северного округа Калифорнии, обвинил NSO Group в эксплуатации уязвимости в функции видеозвонков WhatsApp для установки шпионского ПО Pegasus на устройства пользователей без их ведома. Целями стали активисты прав человека, журналисты, дипломаты и защитники гражданского общества.

Согласно судебным документам (PDF), шпионское ПО Pegasus NSO было установлено через звонок WhatsApp, который даже не требовал ответа от получателя. Как только звонок был совершен, вредоносный код сам устанавливался, предоставляя доступ к широкому спектру личных данных, включая телефонные звонки, электронные письма, зашифрованные личные сообщения, изображения, геолокацию и другие чувствительные данные — все это без ведома пользователя.

В декабре 2024 года судья окружного суда США Филлис Хэмилтон признала NSO Group виновной в нарушении Закона о компьютерном мошенничестве и злоупотреблениях США (CFAA) и Закона Калифорнии о комплексном доступе к компьютерным данным и мошенничеству (CDAFA). Также было установлено, что действия NSO нарушили условия обслуживания WhatsApp, получив доступ к его серверам без разрешения для развертывания шпионского ПО.

Ответ NSO Group

После проигрыша в суде NSO Group заявила, что планирует обжаловать решение, утверждая, что ее программное обеспечение Pegasus предназначено для использования уполномоченными правительствами для борьбы с преступностью и антитеррористическими операциями по всему миру.

“Мы внимательно изучим детали вердикта и будем добиваться соответствующих юридических средств, включая дальнейшие разбирательства и апелляцию”, - добавил Лайнер, заявив, что компания “полностью привержена своей миссии по разработке технологий, которые защищают общественную безопасность”, работая в рамках закона.

Тем временем Meta решила сделать пожертвование организациям, занимающимся цифровыми правами, которые работают над защитой людей от таких атак по всему миру.

“Наш следующий шаг - получить судебный приказ, чтобы предотвратить повторные атаки NSO на WhatsApp”, - заключила компания.