Un giudice federale della California ha stabilito a favore di WhatsApp che il Gruppo NSO, la società israeliana di cyberspionaggio dietro lo spyware Pegasus, si è infiltrata nei suoi sistemi inviando malware attraverso i suoi server a migliaia di telefoni cellulari dei suoi utenti. WhatsApp e la sua società madre Meta hanno citato in giudizio il Gruppo NSO nel 2019, accusandolo di aver distribuito malware a 1.400 dispositivi mobili in 20 Paesi a scopo di sorveglianza. All'epoca fu rivelato che alcuni dei dispositivi presi di mira appartenevano a giornalisti, attivisti per i diritti umani, importanti leader femminili e dissidenti politici.
Il Washington Post ha riferito che il giudice distrettuale Phyllis Hamilton ha accolto la richiesta di WhatsApp di un'ingiunzione preliminare contro NSO, stabilendo che l'azienda ha violato il Computer Fraud and Abuse Act (CFAA) degli Stati Uniti.
NSO Group ha negato le accuse "con la massima fermezza" quando è stata presentata la causa. L'azienda ha negato il coinvolgimento negli attacchi, dichiarando a Engadget che il suo unico scopo era quello di "fornire tecnologia alle agenzie governative di intelligence e alle forze dell'ordine autorizzate per aiutarle a combattere il terrorismo e i reati gravi". L'azienda ha sostenuto di non poter essere ritenuta responsabile perché ha venduto i suoi servizi solo ad agenzie governative che hanno fissato i propri obiettivi. Nel 2020, Meta ha ampliato la sua azione legale e ha accusato l'azienda di aver utilizzato server negli Stati Uniti per i suoi attacchi spyware Pegasus.
Il giudice Hamilton ha stabilito che NSO Group ha violato la CFAA perché l'azienda sembra riconoscere pienamente che il programma WhatsApp modificato che i suoi clienti utilizzano per colpire gli utenti invia messaggi attraverso server WhatsApp legittimi. Questi messaggi permettono poi al software spia Pegasus di essere installato sui dispositivi degli utenti - gli obiettivi non devono nemmeno fare qualcosa, come alzare il telefono per rispondere a una chiamata o cliccare su un link, per essere infettati. Il tribunale ha anche stabilito che la richiesta di sanzioni da parte del querelante doveva essere accolta perché NSO Group aveva "ripetutamente omesso di produrre informazioni rilevanti", la più importante delle quali era il codice sorgente di Pegasus.
Il portavoce di WhatsApp, Carl Woog, ha dichiarato al Post che l'azienda ritiene che questa sia la prima decisione del tribunale che conferma che un importante fornitore di spyware ha violato le leggi statunitensi sull'hacking.
"Siamo grati per la decisione di oggi", ha dichiarato Woog al giornale. "NSO non può più sfuggire alla responsabilità per i suoi attacchi illegali a WhatsApp, ai giornalisti, ai difensori dei diritti umani e alla società civile. Questa sentenza dovrebbe essere un monito per le aziende di spyware: le loro attività illegali non saranno tollerate". Nella sua sentenza, il giudice Hamilton ha scritto che la sua sentenza ha risolto tutte le questioni riguardanti la responsabilità del Gruppo NSO e che il processo servirà solo a determinare l'ammontare dei danni che la società dovrà pagare.
