Pont annak az újságírónak a telefonjára telepítették a nyáron a Pegasus új támadó eszközét, aki az elsők között írta meg, hogy megfigyelték az izraeli kémprogrammal. Bár az NSO Group a nyáron kirobbant botránysorozat hatására beígérte, hogy felülvizsgálja ügyfelei gyakorlatát, a Citizen Lab vizsgálatainak eredménye inkább azt mutatja, hogy továbbra is tolja a programját válogatás nélkül mindenkinek, aki eleget fizet.

Legalább hároméves történet

Magában a hekkelési sztoriban technikailag nincs sok újdonság. Valószínűsíthetően a Pegasus segítségével, ún. nulla kattintásos vagy zero-click (azaz felhasználói beavatkozást nem igénylő) módszerrel helyeztek el kémkedésre alkalmas programot a The New York Times újságírója, Ben Hubbard iPhone-ján.

Az újságíró, aki igencsak jó név a szakmában (2013-ban a szíriai háborús tudósításaiért Pulitzer-díjra is jelölték), és abban a "szerencsés" helyzetben volt, hogy az összes Pegasus-támadási eszközt kipróbálták rajta. A Citizen Lab kutatói 2018-ig tudták visszavezetni az NSO-hoz köthető kémeszközök jelenlétét telefonján. A coloradói születésű és a mesterdiplomáját a Berkeleyn szerző, arabul is jól beszélő Hubbard valószínűleg azért érdemelhette ki ezt a megtisztelőnek nem mondható, kiemelt figyelmet, mert ő vezeti az amerikai lap bejrúti irodáját.

Amiért azonban az ő esete különösen érdekes, hogy már 2018-ban panaszt tett az NSO Groupnál amiatt, hogy valószínűsíthetően megfigyelik a cég kémszoftverével, de a vállalat tagadta, hogy a támadáshoz bármi köze lenne.

A legutóbbi támadás Hubbard ellen június közepén történt. Akkor már azzal a Citizen Lab által szeptember publikált, Forcedentry nevű exploittal fertőzték meg a telefonját, amit az NSO valószínűsíthetően ez év februárjában szállított az ügyfeleinek.

Az ígéreteket nem követték tettek

A hekkelés azért is figyelemre méltó, mert az újságíró már 2020-ban nyilvánosságra hozta a The New York Timesban megfigyelései történetét. Az igazi nagy bomba azonban idén robbant, amikor a Forbidden Stories nonprofit oknyomozó szervezet összehangolt nyomozása után világszerte –  Magyarországon is – elkezdtek megjelenni a Pegasus-cikkek. Kiderült például, hogy még a francia köztársasági elnök ellen is kémkedhettek a szoftverrel.

Az NSO először perrel fenyegette a Forbidden Storiest, majd azt állította, hatalmában van megakadályozni, hogy ne használhassák rosszra a szoftverét (amit amúgy is csak demokratikus államok hivatalos hatóságainak értékesítenek), és ígért mindenféle átfogó vizsgálatot. Ez az eset azonban épp azt szemlélteti a Citizen Lab szerint, hogy az NSO Group emberi jogokkal és felügyelettel kapcsolatos nyilatkozatai és a valóság, azaz a cég gyakorlata között óriási az szakadék.

A kanadai cég szerint aggasztó, hogy a szoftvert egyre gyakrabban használják újságírók, ellenzékiek, civil aktivisták ellen (a támadásoknak több magyar célpontja is volt). Ez a kiterjedt és rutinszerű visszaélés a Pegasusszal újságírók közvetlen veszélyt jelent a sajtószabadságra világszerte, mivel biztonsági kockázatot jelent az újságírók és forrásaik számára.