– Articolo ospite, scritto da Vincent Lautier –
Una giuria federale americana ha ordinato al gruppo NSO di pagare $ 168 milioni a WhatsApp per l’utilizzo di Pegasus Spy Software su oltre 1.400 utenti. Una decisione senza precedenti, che potrebbe avere ripercussioni significative contro il settore degli spyware.
Gruppo NSO condannato per massiccia pirateria di Whatsapp
American Justice ha appena causato un duro colpo al gruppo NSO. Una giuria federale ha ordinato alla società israeliana di pagare $ 168 milioni a WhatsApp, di proprietà di Meta, per aver gestito i suoi server al fine di infettare oltre 1.400 utenti con software spia Pegasus. Questa decisione arriva dopo che sei anni di procedimenti legali sono iniziati nel 2019, alla fine del quale NSO è stato dichiarato colpevole di violazione delle leggi federali e californiane sulla frode informatica. Questa convinzione è una prima contro un produttore di spyware, la cui attività, sebbene legalmente supervisionata su carta, si basa principalmente su un’area legale grigia.
Pegasus, uno strumento di sorveglianza deviato
Inizialmente, Pegasus è stato presentato come uno strumento per aiutare i governi a combattere il terrorismo e il grande crimine. Ma in pratica, le prove accumulate da Citizen Lab e altre ONG mostrano un uso sistematico contro giornalisti, avvocati, attivisti per i diritti umani e oppositori politici. Nel caso ritenuto, Pegasus ha sfruttato un difetto di sicurezza critico (CVE-2019-3568) nella funzione di chiamata vocale di WhatsApp per infiltrarsi nei dispositivi vittime distribuiti in 51 paesi. I documenti del processo indicano, ad esempio, 456 vittime in Messico, 100 in India, 82 in Bahrein e diverse dozzine in stati come il Marocco o il Pakistan.
Attacchi ripetuti nonostante gli avvisi
Ciò che WhatsApp critica NSO non è solo un incidente isolato. Secondo elementi del file, NSO avrebbe provato 43 volte a maggio 2019 per passare attraverso i server californiani di WhatsApp per diffondere il suo software spia. Meta afferma di aver mobilitato i suoi ingegneri per contrastare gli attacchi, fino a oltre $ 400.000 in costi interni. Nonostante ciò, NSO ha continuato a perfezionare le sue tecniche, incluso dopo aver presentato una denuncia, dimostrando in base al meta manifest di aggirare le difese messe in atto. Questa ostinazione ha pesato pesantemente nella decisione della giuria, che ha stimato che NSO ha agito con “oppressione, frode o malizia”.
Un segnale inviato al settore degli spyware
Il verdetto include quindi $ 167,25 milioni di danni, ma anche 444.719 dollari (è preciso) di danni compensativi. È un importante precedente legale in un’area finora non preoccupata, e invia principalmente un chiaro avvertimento ad altre società attive nella sorveglianza digitale. Meta prevede inoltre di continuare il caso per ottenere un’ingiunzione che proibisce a NSO dal targeting di WhatsApp, mentre pagava parte dei fondi recuperati dalle associazioni dei diritti digitali.
NSO si difende, ma riconosce le sue capacità offensive
NSO, da parte sua, continua a difendere la legittimità della sua attività. La società sostiene che il suo software viene venduto esclusivamente a governi “autorizzato”, che non controlla gli obiettivi finali e che rispetta un rigoroso quadro giuridico. Tranne il fatto che le testimonianze ascoltate in tribunale contraddicono questa narrazione: NSO adatta i suoi attacchi secondo gli obiettivi e i dispositivi mirati, tra cui iOS e Android, usando vettori diversi se necessario, come browser o messaggi. La società ha persino ammesso di investire decine di milioni di dollari ogni anno nello sviluppo di questi vettori di infezione.
Nonostante la decisione, NSO rimane attivo e intende appello. La società è già stata inserita nella lista nera dal dipartimento commerciale degli Stati Uniti nel 2021, che limita le sue relazioni commerciali con le società americane. L’Unione Europea ha anche aperto sondaggi sull’uso di Pegasus in alcuni Stati membri. Da parte sua, Apple aveva lanciato un procedimento legale simile a quello di WhatsApp, prima di arrendersi nel 2024 per non rivelare dati sensibili sui suoi sistemi di sicurezza. Ciò dimostra come questi casi possano mettere le aziende in una posizione delicata, tra trasparenza giudiziaria e protezione delle infrastrutture.
Articolo ospite pubblicato da Vincent Lautier. Puoi anche Seguimi su Blueskyfai un salto Il mio blogo leggere I test che pubblico nella categoria “Tech Gadgets”COME Questo cacciavite o quello SSD piccolo !
Fonti: Il Washington Post,, Meta
Source link
Subscribe to our email newsletter to get the latest posts delivered right to your email.
Comments