陪审团在美国法院周二表示,以色列监视公司NSO集团必须支付近1.68亿美元的损害赔偿,以利用WhatsApp来部署其臭名昭著的Pegasus间谍软件对全球用户的赔偿。
一个八人陪审团授予元赔偿金元$ 444,719,以支付解决违约的费用,再加上额外的1.672亿美元的惩罚性赔偿,旨在阻止NSO的类似未来行动根据法院申请在美国加利福尼亚州北区的美国地方法院。
陪审团的判决在不到两天的审议之后作出,限制了一场为期六年的法律斗争,该战斗揭示了对网络雇佣军及其政府客户的阴暗世界的罕见见解。
该案例源于NSO集团对WhatsApp基础架构中关键漏洞的开发。 2019年5月,WhatsApp工程师发现NSO发展了零单击,可以通过简单的电话静静地安装Pegasus间谍软件的零日攻击,除了将设备供电的设备外,不需要目标。
在工程师修补漏洞之前,这次攻击损害了大约1,400个WhatsApp帐户。
“今天在WhatsApp的案件中的判决是隐私和安全的重要一步,这是对威胁所有人安全和隐私的非法间谍软件的开发和使用的首次胜利。”梅塔在一份声明中说。
NSO发言人吉尔·莱纳(Gil Lainer)表示,该公司将对判决提出上诉,并表示法院忽略了间谍软件可以做的好处。
“我们坚信,我们的技术在预防严重的犯罪和恐怖主义方面起着至关重要的作用,并由授权的政府机构负责任地部署。这种观点是通过广泛的现实证据和许多安全行动验证的,在这种情况下,在陪审团的考虑之外,挽救了许多生命,包括美国生命,包括美国的生命,”他通过电子邮件说。 “我们将仔细研究判决的细节,并寻求适当的法律补救措施,包括进一步的诉讼和上诉。”
在监视业务模型内部
梅塔(Meta)分享了法院诉讼的笔录及其声明,揭示了NSO集团的运营和定价结构的细节。在2018年至2020年之间,该公司指控欧洲政府客户的“标准价格”为700万美元,同时访问Hack 15设备。客户支付了100万至200万美元的保费费用,以针对其国家边界之外的电话。
梅塔律师安东尼奥·佩雷斯(Antonio Perez)在审判中说:“这是一种高度复杂的产品。
安装后,Pegasus授予对折衷设备的完整访问,包括电话记录,电子邮件,消息,视频内容和位置数据。间谍软件甚至可以远程激活相机和麦克风进行秘密监视。
该试验还暴露了NSO与美国情报之间的意外联系。法院记录显示,中央情报局和联邦调查局(CIA)和联邦调查局(FBI)共同支付了NSO的760万美元,报道表明中央情报局(CIA)资助了吉布提(Jibouti)购买间谍软件,而联邦调查局(FBI)以测试目的为目的。
尽管有法律后果,但仍存在威胁
Meta在其后的声明中警告说,尽管他们的合法胜利,威胁仍在继续:“当我们停止了2019年利用我们的呼叫系统的攻击向量时,Pegasus拥有许多其他Spyware安装方法,以利用其他公司的技术来操纵人们的设备,以下载恶意代码并与他们的货物相处。”
对于企业安全团队而言,大多数人都是元法在最近的法院文件中的启示,即NSO“反复针对原告,原告的服务器和原告的移动客户,即使提出了这项诉讼”。这种持续的行为促使梅塔寻求对公司的永久禁令。
NSO集团的法律辩护策略说明了监视供应商经常采用的回避策略。该公司最初因未出庭而违约,声称其原告尚未正确交付法律文件。然后,它指责该公司伪善,指控高管已与NSO联系使用该技术来监视自己的客户。
企业安全含义
对于企业安全负责人来说,此案强调了组织从国家赞助和商业监视工具中面临的复杂威胁。零单击的漏洞(例如NSO利用的漏洞)可以绕过传统的安全意识措施,因为它们不需要网络钓鱼链接,恶意下载或任何形式的用户互动。
“目前最臭名昭著的雇佣间谍软件是NSO Group的Pegasus,”公民实验室的高级研究员约翰·斯科特·雷尔顿(John Scott-Railton)协助调查了Pegasus说在2022年他对情报的永久选择委员会的证词中。“这种雇佣军的间谍软件高度复杂,侵入性且难以在大规模检测到,即使是资源良好的政府也是如此。”
该案例强调了大量使用的通信平台如何成为高度针对性攻击的向量,即使加密也是如此。具有敏感操作或通信的组织应考虑到这些高级持久威胁的评估其安全框架。