Spywareleverancier NSO Group moet WhatsApp wegens een aanval op diens gebruikers een schadevergoeding van 167 miljoen dollar betalen, zo heeft een federale jury in de Verenigde Staten bepaald. WhatsApp besloot NSO Group in 2019 aan te klagen nadat volgens de chatapp veertienhonderd WhatsApp-gebruikers met de Pegasus-spyware besmet waren geraakt. Het ging onder andere om journalisten, mensenrechtenactivisten en overheidsfunctionarissen wereldwijd.

Pegasus is spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via kwetsbaarheden verspreid waar op het moment van de aanval geen update voor beschikbaar is.

Voor het infecteren van de veertienhonderd WhatsApp-gebruikers, waaronder met de spyware werd gebruikgemaakt van een onbekend beveiligingslek in WhatsApp. Afgelopen december oordeelde een Amerikaanse rechter dat NSO Group voor de aanval aansprakelijk kan worden gehouden. Een federale jury heeft nu geoordeeld dat de spywareleverancier ruim 167 miljoen dollar aan schadevergoedingen moet betalen.

Meta laat weten dat het van plan is om de schadevergoedingen te doneren aan digitale rechtenorganisaties die mensen tegen spyware-aanvallen beschermen. Daarnaast heeft Meta ook de verklaringen die NSO Group in de rechtbank deed openbaar gemaakt. Spyware-onderzoeker John Scott-Railton van Citizen Lab, een organisatie die zich met onderzoek naar spyware en het ondersteunen van slachtoffers bezighoudt, noemt de uitspraak een precedent scheppende overwinning. Verder stelt de onderzoeker dat het openbaar maken van de verklaringen van NSO Group een ongekende blik in de bedrijfsvoering, exploit-ontwikkeling, operaties en financiën van de spywareleverancier biedt.