למועדון נפגעי NSO, חברת הסייבר ההתקפי הישראלית, הצטרפה חברה חדשה. קצת צפוף במועדון, והמצטרפת הטרייה עומדת לעשות אותו צפוף הרבה יותר. אחרי הכל, מדובר באחת החברות הגדולות, העשירות והמשפיעות בעולם: פייסבוק. ענקית הרשת הגישה אתמול תביעה לבית המשפט המחוזי בקליפורניה בטענה ש-NSO פרצה לחשבונות רשת המסרים המיידיים הפופולרית ווטסאפ (שבבעלות פייסבוק), ובכך עברה על החוק האמריקאי נגד ניצול והונאות מיחשוב, הפרה את החוזה שלה עם ווטסאפ ופייסבוק (בכך שהפרה את כללי השימוש באפליקציות אותן אישרה) ואף ביצעה הסגת גבול (מיטלטלין) בכך שפרצה לשרתים ומערכות המחשוב של ווטסאפ ופייסבוק.
ווטסאפ דיווחו על התקיפה כבר במאי, וכעת יצאו בהצהרה המטלטלת: האחראית היא חברה ישראלית. התובעות מבקשות מבית המשפט בקליפורניה לחייב את NSO בתשלום פיצויים לווטסאפ ופייסבוק, אבל הסכום הנקוב - 75 אלף דולר - מגוחך. מה שאולי משמעותי יותר הוא הדרישה להוצאת צו מניעה קבוע לכל מי שקשור ל-NSO: בעלים, מנהלים, עובדים וסוכנים. צו שימנע מהם כל גישה לשירותים, לפלטפורמות ולמערכות הממוחשבות של פייסבוק ושל ווטסאפ, ואף יאסור עליהם לנהל חשבון בפייסבוק או בווטסאפ - ואכן לפי הפרסומים, חשבונות פייסבוק הקשורים ל-NSO כבר נחסמו על ידי החברה.
ההתרחשות שמגולל כתב התביעה נראית כלקוחה מפרק בסדרת טלוויזיה דיסוטופית: בין ינואר 2018 למאי 2019 פתחה חברת NSO חשבונות ווטסאפ אותם ניצלה מאוחר יותר במהלך השנה להחדרת תוכנת הריגול שלה למכשיריהם של לא פחות מ-1,400 משתמשי ווטסאפ ברחבי העולם, בכ-20 מדינות שונות. תוכנת הריגול הושתלה באמצעות שיחת וידאו מזויפת שנשלחה משרתי חברת ווטסאפ, והיתה כה מתוחכמת שהמשתמשים שהיוו מטרות למתקפת הריגול לא היו צריכים אפילו לענות. התוכנה כבר נשתלה.
לפי התביעה 1,400 בני אדם הותקפו עד שבווטסאפ הצליחו לחסום את המתקפה, מתוכם זוהו 100 פעילי זכויות אדם, עורכי דין, עיתונאים, מתנגדי משטר, פוליטיקאים, דיפלומטים ובכירים ממשלתיים
לפי התביעה, הפעולה נעשתה ע"י פריצה לשרתים ולמערכות המחשוב של ווטסאפ, כך שישלחו את אותן שיחות וידיאו לחשבונות האנשים אחריהם רצו לרגל. התוכנה שהורדה כך למכשיר הטלפון חיברה בין המכשיר לבין השרתים של NSO וכך העניקה למפעילי השרתים גישה חופשית לכל המידע המצוי על המכשיר של המשתמש - כל תקשורת שהוציא, בטקסט או בעל-פה, מיקום, תמונות, סרטונים - הכל. מדובר בתוכנה כה מתקדמת שהיא אף יכולה לשלוט במכשיר הטלפון של המותקף מרחוק ולהפעיל את המיקרופון והמצלמה שלו ובעצם לתעד את כל מעשיו.
כאמור, לפי התביעה 1,400 בני אדם הותקפו עד שבווטסאפ הצליחו לחסום את המתקפה, מתוכם זוהו 100 פעילי זכויות אדם, עורכי דין, עיתונאים, מתנגדי משטר, פוליטיקאים, דיפלומטים ובכירים ממשלתיים. התקיפה בוצעה נגד משתמשי ווטסאפ במדינות שונות כולל - בחריין, איחוד האמירויות ומקסיקו - שתיים מהן לקוחות ידועות של NSO, שלושתן מדינות עם רקורד בעייתי בנוגע לשמירה על זכויות אדם.
לטענת ווטסאפ ופייסבוק בכתב התביעה, הפריצות גרמו להן נזק אדיר, הן כלכלי והן תדמיתי, ופגעו באופן חמור באמון שרוכשים להם המשתמשים. בהודעה לעיתונות שהוציאה אמש מסרה חברת ווטסאפ כי הריגול אחר פעילי זכויות אדם, עורכי דין, מתנגדי משטר וכיוצא בזה, חמור בעיניה יותר מעצם הפריצה לשרתיה.
וויל קת'קארט, מנכ"ל ווטסאפ, בטור שפרסם אתמול ב"וושינגטון פוסט", כתב כי הפרשה צריכה לשמש קריאת השכמה לחברות טכנולוגיה, ממשלות ואזרחים: נשק סייבר מאפשר לחדור לחיינו הפרטיים, לעקוב אחרינו ולפגוע בנו. העלייה המהירה במספר החברות והממשלות חסרות האחריות שטכנולוגיות ריגול מתקדמות אלו הגיעו לידיהן, מציבות את כולנו בסכנה. חברות ביטחוניות או טכנולוגיות אחראיות מדווחות על חולשות או פירצות שהן מאתרות ולא מנצלות אותן לריגול לא חוקי באמצעות הטכנולוגיה שלהן. בהתאם, אסור לחברות כמו NSO למכור את טכנולוגיות הסייבר ההתקפי שלהן לגורמים שנוקטים בפעולות ריגול לא חוקיות כאלו.
"בספטמבר הצהירה NSO כי הגנה על זכויות אדם מוטמעת בכל מישור עבודה של החברה, אך במקביל היא טוענת שאין לה שום ידע על מטרות הריגול של לקוחותיה ומוצריה. שתי ההצהרות הללו סותרות זו את זו"
"יש עוד הרבה עבודה לעשות עד שנגיע לפיקוח ראוי ומספק על סחר בנשק סייבר", כותב מנכ"ל ווטסאפ, "בספטמבר הצהירה NSO כי הגנה על זכויות אדם מוטמעת בכל מישור עבודה של החברה, אך במקביל היא טוענת שאין לה שום ידע על מטרות הריגול של לקוחותיה ומוצריה. שתי ההצהרות הללו סותרות זו את זו. העומדים בראש חברות טכנולוגיה כדוגמת NSO צריכים, לכל הפחות, להצטרף לקריאתו של הדווח המיוחד של האו"ם, דיוויד קיי, להקפאה מיידית של כל מכירה ושימוש בתוכנות הריגול המסוכנות".
אנחנו באמנסטי אינטרנשיונל לא הופתענו כששמענו על התביעה. כבר ביוני 2018 הותקף איש צוות של אמנסטי באחד מסניפינו בעולם ע"י תוכנת ריגול, ומדי שבוע מתפרסמות בעולם כתבות על הנזק והסכנה שגורמות חברות ביטחוניות ישראליות כמו NSO ולקוחותיהן המפוקפקים. שוב ושוב שומעים וקוראים אנשים בישראל וברחבי העולם על פשעים המבוצעים באמצעות נשק ונשק סייבר ישראלי כלפי מתנגדי משטר, פעילי זכויות וסתם אזרחים חפים מפשע.
אמנם אין באפשרותנו בשלב זה לאשר או להפריך את טענות ווטסאפ, אבל הר הטענות שמצטבר ומתפרסם נגד NSO מחייב התייחסות ופעולה. האחראי להפקרות הוא אגף הפיקוח על הייצוא הביטחוני במשרד הביטחון (אפ"י), אותו הסמיכה מדינת ישראל לפקח על חברות כמו NSO. אגף הפיקוח אינו מפקח, ואינו מאפשר פיקוח של גורמים אזרחיים כשהוא מבקש ומקבל שוב ושוב צווי איסור פרסום על כל פרט והחלטה הקשורים לייצוא נשק ישראלי.
אמנסטי תבעה את משרד הביטחון בדרישה לבטל את רישיון הייצוא הביטחוני של NSO, ודיון בנושא צפוי להתקיים ב-7 בנובמבר בבית המשפט המחוזי בתל אביב. אנחנו מקווים שבית המשפט אכן יחייב את משרד הביטחון לבטל את הרישיון של NSO, ולא ינסה להעלים, בניגוד לכל היגיון, את הסיקור חסר התקדים של הסכנה העולמית שנשקפת מההפקרות הזו.
חן בריל אגרי היא קמפיינרית באמנסטי אינטרנשיונל ישראל
* * *
מ-NSO נמסר בתגובה: "אנו דוחים בכל תוקף את הטענות של פייסבוק. המטרה היחידה של מוצרי NSO היא לסייע לגופי ביון ואכיפת חוק ממשלתיים מורשים להלחם בטרור ופשעים חמורים, שלעתים מסתתרים מאחורי פלטפורמות ואפליקציות מוצפנות. טכנולוגיה זו לא מיועדת או מורשת לשימוש נגד פעילי זכויות אדם או עיתונאים. היא נועדה להציל חיים ועשרות רבות של אנשים ברחבי העולם חייבים את חייהם לטכנולוגיה של NSO.
"המציאות היא שפלטפורמות ואפליקציות מוצפנות, משמשות לעיתים אירגוני פשיעה, פדופילים, ברוני סמים וטרוריסטים ומאפשרת להם לחמוק מידיהם של רשויות החוק וארגוני הביון. הטכנולוגיות של NSO מספקות לממשלות פתרונות ממוקדים ומידתיים לבעיות אלה. אנו מתייחסים לכל שימוש במוצרינו שאינו מיועד למלחמה בטרור ופשיעה כשימוש לרעה, ואוסרים זאת במסגרת החוזים שלנו. אם אנו מאתרים שימוש לא ראוי אנו פועלים בהתאם.
"טכנולוגיה זו מיועדת לשמירה על זכויות אדם, בין היתר הזכות לחיים ולביטחון, וזו הסיבה שהודענו על התאמת המדיניות שלנו לכללים המנחים של האו"ם לעסקים וזכויות אדם, כדי לוודא שהמוצרים שלנו מכבדים את כל זכויות האדם".