Kevesebb mint 50 ügyfele használja a Pegasus spyware-t, bár ezek között több mint öt uniós tagállam is található – közölte az izraeli NSO Group az európai törvényhozókkal, de a cég vezető jogtanácsosa, Chaim Gelfand nem volt hajlandó az ügyfelekre vonatkozó konkrét kérdésekre válaszolni az Európai Parlament múlt heti bizottsági ülésén. Ehelyett többször is megismételte, hogy az NSO kizárólag kormányzati szerveknek adja el a technológiáját, és azoknak is csak a terrorizmus és más súlyos bűncselekmények megelőzése és kivizsgálása céljából.

Később azonban hozzátette, hogy néha magáncégek is belekeverednek a dologba: a kormányhivatalok mindig a végfelhasználói szintet jelentik, de időnként az üzleti oldalról is részt vesznek harmadik felek az ügyletekben. Az NSO ezt biztonsági okokkal magyarázza, vagyis a szóban forgó piaci szereplők közvetítői szerepet töltenének be, de magát a Pegasus rendszert nem kapják meg, és ahhoz hozzá sem férhetnek. A teljes egészében tavaly kiteljesedő botrány fontosabb részleteit ezekben a cikkekben dolgoztuk fel, maga a meghallgatás az EP oldalán itt tekinthető meg.

A két és fél órás eseményen kiderült, hogy az NSO-nak korábban 60 ügyfele volt összesen 45 országban, de ez a szám időközben csökkent, és a cég több mint 20 ügyfelét vizsgálja a kémprogrammal összefüggő visszaélések gyanújával. Gelfand azonban nem válaszolt rá érdemben, hogy értékesítettek-e kémprogramokat bizonyos országoknak, köztük Magyarországnak és Lengyelországnak, a magyar Donáth Anna EP-képviselő kérdésére pedig abba sem ment bele, hogy visszavontak-e, vagy terveznek-e visszavonni ezektől az országoktól engedélyeket. A látványos maszatolást a fenti közvetítésben 17:14:40 körül érdemes keresni.

Jó hír, van egy csomó pontunk

Bár korábban a Pegasus Project több mint 50 ezer telefonszámot tartalmazó listáról számolt be, az NSO képviselője szerint pontosabb évente 12-13 ezer célpontról beszélni. Ugyan az NSO Group saját meghatározása szerint azért fejlesztette ki a szolgáltatásként működő spyware-t, hogy segítse a bűnüldöző szerveket, egyre több információ jelenik meg újságírókat, aktivistákat, választott tisztviselőket, politikusokat vagy akár hétköznapi állampolgárokat célzó kémkedésről. A The Register riportja a SANS Institute egyik vezetőjét idézi ezzel kapcsolatban, aki a Pegasust az egyik legveszélyesebb kiberfenyegetésnek nevezte, amelyik felhasználói beavatkozás nélkül telepíthető az áldozatok telefonjára, mindenhez hozzáfér az adott eszközön, majd a nyomait is igyekszik eltüntetni.

Az NSO azt állítja, hogy pontozza az országokat, mielőtt eladná nekik a Pegasust, és ezt a 20 pontos határ alatt nem is teszi meg, sőt a botrány kirobbanása óta meg is emelte a lécet. A meghallgatáson kiderült, hogy ebben a rendszerben Szaúd-Arábiát körülbelül 30 pontra értékelték, Belgium pontszáma 80, Spanyolországé 75, míg Lengyelország és Magyarország 64-65 pont körül mozog. Gelfand azt is kijelentette, hogy amikor a felhasználási feltételek megsértését tapasztalják, a vonatkozó szerződés rögtön megszűnik, de abba nem ment bele, hogy mi történt például Szaúd-Arábiával, amikor kipattant az Amazon vezérigazgatójával kapcsolatos megfigyelési ügy.

Mint ismeretes, az Egyesült Államok már tavaly feketelistára tette a hírhedté vált izraeli szoftverszolgáltatót, az európai uniós törvényhozók pedig az idén indítottak vizsgálatot a kémprogramokkal és a Pegasussal kapcsolatban, miután a hírek szerint a kódot megtalálták mások mellett a brit és a spanyol miniszterelnök, több tucat politikus, újságíró vagy civil társadalmi csoportok tagjainak mobil eszközein. A pénzügyileg kedvezőtlen helyzetbe került NSO felvásárlása iránt egyébként a hírek szerint amerikai védelmi szállítók, így az L3Harris Technologies és a Palantir is érdeklődnek, de Gelfand nem meglepő módon erről sem adott tájékoztatást.