Een Amerikaanse rechter heeft de boete die spywareleverancier NSO Group wegens het bespioneren van 1400 WhatsApp-gebruikers kreeg opgelegd verlaagd van 167 miljoen dollar naar 4 miljoen dollar. Daarnaast mag het bedrijf WhatsApp en diens gebruikers niet meer aanvallen, zo oordeelde de rechter verder (pdf).

WhatsApp besloot NSO Group in 2019 aan te klagen, nadat volgens de chatapp veertienhonderd WhatsApp-gebruikers met de Pegasus-spyware besmet waren geraakt. Het ging onder andere om journalisten, mensenrechtenactivisten en overheidsfunctionarissen wereldwijd. Pegasus is spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen.

De Pegasus-spyware wordt al zeker sinds 2016 via allerlei kwetsbaarheden verspreid, waar op het moment van de aanval geen update voor beschikbaar is. Zo is er onder andere misbruik gemaakt van kwetsbaarheden in bijvoorbeeld iOS en iMessage, alsmede ook WhatsApp. Voor het infecteren van de veertienhonderd WhatsApp-gebruikers werd gebruikgemaakt van een onbekend beveiligingslek in de chatapp.

Vorig jaar december oordeelde een Amerikaanse rechter dat NSO Group voor de aanval aansprakelijk kan worden gehouden. Een federale jury oordeelde begin mei dat de spywareleverancier ruim 167 miljoen dollar aan schadevergoedingen moet betalen. Meta liet weten dat het van plan is om de schadevergoedingen te doneren aan digitale rechtenorganisaties die mensen tegen spyware-aanvallen beschermen.

WhatsApp liet in mei ook weten dat het juridisch gevecht nog niet voorbij was, en het ook een gerechtelijk bevel wilde dat NSO Group WhatsApp en diens gebruikers niet meer mag aanvallen. De rechter heeft dat bevel nu gegeven, maar ook de boete verlaagd die NSO Group kreeg opgelegd. Volgens de rechter kan het gedrag van NSO Group niet als "bijzonder schokkend" worden bestempeld, wat tot een lagere financiële schadevergoeding leidt.

NSO Group laat tegenover Reuters weten dat het bevel niet geldt voor klanten van het bedrijf die de technologie gebruiken. Daarnaast stelt de spywareleverancier de uitspraak te bestuderen en verdere stappen niet uit te sluiten. WhatsApp-topman Will Cathcart zegt blij te zijn met de uitspraak dat NSO Group het bedrijf en diens gebruikers niet mag aanvallen. NSO Group bevestigde onlangs dat het door een Amerikaanse investeringsgroep wordt overgenomen.