דיווח: וואטסאפ שיבשה מצוד אחר מחבל של דאע''ש
הודעת אזהרה של ווטסאפ הביאה לשיבוש חמור בחקירה חשאית שנוהלה אחר מחבל של דאעש. על פי החשד, המחבל תיכנן אירוע טרור המוני לקראת סוף השנה, אולם לאחר שאפליקציית הצ'ט שלחה 1,400 הודעות למשתמשים, שבהן הזהירה אותן כי המכשיר שלהם נפרץ - אבד הקשר עם המחבל. NSO הישראלית היא זו שסיפקה את הנוזקה ששימשה את הרשויות למעקב אחר המחבל
סוכנויות מודיעין אירופיות חשפו כיצד הודעת אזהרה של ווטסאפ, אפליקציית הצ'ט בבעלות פייסבוק, הביאה לשיבוש חמור בחקירה חשאית. הרשויות היו במצוד אחר מחבל הקשור לדאע''ש ושעל פי החשד תיכנן אירוע טרור המוני לקראת חגי סוף השנה. על פי הדיווח של הוול סטריט ג'ורנל שלשום בלילה (חמישי) במהלך אוקטובר שלחה ווטסאפ כ-1,400 הודעות ובהן הזהירה את המקבלים על כך שהמכשיר שלהם נפרץ על ידי קבוצת סייבר. בעקבות זאת, אומרים אנשי הביון, המכשיר של החשוד נעלם מהרשת והם איבדו את הקשר איתו.
- עובדי NSO נגד פייסבוק: דורשים צו מניעה נגד חסימת חשבונותיהם ברשת החברתית
- נשיאת NSO: "אם אפשר היה לספר איך אנחנו באמת עוזרים, הדיון על החברה היה אחר"
- ארבעה מיליון דולר לפריצה: כך עובדים שירותי NSO
החקירה אושרה על ידי שופט, זה גם אישר לאנשי הביון להשתמש ב"כל אמצעי אפשרי" כדי לחדור לסמארטפון של החשוד. ואולם זה לא מנע מכך שהיא תשובש, גם אם בלא יודעין, על ידי ההודעה של פייסבוק. יש לציין שעל פי התקנות היא מחויבת להודיע למשתמשים במקרה שהיא מזהה חדירה לחשבון שלהם. ההודעה ששלחה החברה ציינה כי "יכול להיות שמספר טלפון זה נפגע במסגרת ניסיון של גורם סייבר לנצל את תכונת שיחות הווידאו כדי להתקין נוזקה". בפייסבוק מוסיפים שניסיון החדירה זוהה עוד במאי שעבר.
הנוזקה ששימשה את הרשויות ושנגדה הזהירה פייסבוק היא זו של NSO. חברת הסייבר ההתקפי הישראלית סיפקה את הטכנולוגיה שלה לסוכנות הביון האירופית שעקבה אחרי המחבל של דאע''ש. בציוץ שפרסם לפני יומיים מיד עם פרסום הדיווח, כתב עומרי לביא, ממייסדי NSO: "החיים יותר מורכבים ממה שנראה לעין. קבוצת NSO מצילה נפשות! זיכרו זאת".
Life is more complicated than it seems. NSO Group saves lives! Remember that. #nsogroup #nso #nsogroupsaveslives https://t.co/0yGTOJ2Dwj
— Omri Lavie (@omrilavie) January 2, 2020
לביא ככל הנראה התייחס בציוצו לתביעתה של פייסבוק נגד החברה שלו. זו הוגשה ביום שבו נשלחה אותה הודעת אזהרה - ה-29 באוקטובר - העובדה שאותה מדינה השתמשה בטכנולוגיה של NSO לא היתה ידועה לה בשלב זה. שיבוש החקירה הלא רצוני גם מצביע על בעיה זו, ולא רק, מדובר על ניגוד אינטרסים בין ספקית השירות לבין סוכנויות המודיעין והמשטרה. הרשויות מנצלות כל הזדמנות לדרוש התקנה של דלתות אחוריות באפליקציות צ'ט, רשתות חברתיות ותקשורת.
אך אפל, פייסבוק וטוויטר למשל הדפו עד כה את כל הניסיונות להתקין אמצעי כזה. הטענה שלהן, כמו גם של גורמים מקצועיים רבים בתחום אבטחת המידע, היא שאמצעי מעין זה יזלוג לידי פושעי סייבר שינצלו אותו למטרותיהם. "אנחנו מחויבים לבטיחות ולהגנת המשתמשים שלנו", כתבו אנשי ווטסאפ בכתב התביעה, "שיטות החדירה המתוארות בכתב התביעה שלנו נגד קבוצת NSO אינן חוקיות".
NSO מסרה לוול סטריט ג’ורנל כל הטכנולוגיה שלה נמצאת בשימוש בידי סוכנויות מודיעין ממשלתיות, ורשויות אכיפת החוק, וש"רשיונות השימוש שלה מציעות אותה כאמצעי חוקי לשימוש אך ורק במקרה של חקירה או מניעת טרור או פשעים חמורים". ואולם NSO ספגה לא מעט טענות מצד ארגוני זכויות אדם כגון Citizen Lab הקנדי שהצטרפו לפייסבוק בהאשמת החברה שהיא גם מכרה את מוצריה למדינות במזה''ת, מקסיקו או הודו. שם הרשויות לא בחלו בשימוש הנוזקה של NSO גם נגד מתנגדי שלטון לגיטימיים, עיתונאים ופעילי זכויות אדם.
אך בחברה מתנערים מהאשמות אלה. בתגובה היא מסבירה שרוב לקוחותיה הן מדינות אירופיות דמוקרטיות שמשתמשות בטכנולוגיה ובנוזקת פגאסוס אך ורק לחקירות פליליות או נגד טרור. בנוסף החברה מסבירה שהיא אינה מכירה את המטרות או את האנשים שנגדם מופעלים אמצעי המעקב שפיתחה. היא גם חוקרת כל שימוש לא נכון של מוצריה, כמו למשל במסגרת מעקב שלא במסגרת חקירה פלילית. כמו כן היא אינה מאפשרת מעקב המוני ושמשרד הביטחון הישראלי חייב לאשר כל עסקה שהיא מבצעת.
זאת ועוד, סוכנויות ביון אינן מסתפקות באמצעי מעקב בודד, הן נוהגות לשלב בין טכנולוגיות מספקים שונים כדי להשלים את היכולות של כל מוצר או פשוט כאמצעי גיבוי במקרה שטכנולוגיה מסוימת מזוהה או נחסמת. כך במקרה של החקירה נגד המחבל של דאע''ש, הוסבר על ידי סוכני הביון שאמונים על החקירה על כך שהם הצליחו בסופו של דבר להמשיך את החקירה באמצעות מעקב אנושי. "אך המשאבים שלנו מאוד רזים", הסבירו הסוכנים.
על פי הדיווחים החקירה הזו לא היתה היחידה ששובשה על ידי משלוח ההודעה של ווטסאפ. עוד כעשר חקירות במדינות אירופיות שונות נפגעו מהודעות האזהרה. אך עבור פייסבוק וחברות אמריקאיות נוספות, האזהרות האלה הן חלק מתגובה תקנית למצב של זיהוי פריצה על חשבון של משתמש. למעשה חברות אלה דורשות לקבל הודעה כל אימת שהפלטפורמות שלהן משמשות לחקירה, ולמעט אם החוק אוסר זאת או כשמדובר בנסיבות יוצאות מן הכלל כמו במקרה של פדופיליה, הן יודיעו למושא המעקב על כך.
"מבחינת החברות האלה מדובר על גניבת מידע והן מחויבות למסור הודעה על כך למשתמשים", מסביר גרגורי נוז'ם, יועץ בכיר למלכ''ר המרכז לדמוקרטיה וטכנולוגיה, שנאבק בהפרות פרטיות. ואם המצב לא היה מספיק מסובך, החל מסוף 2020, הן גם יהיו מחויבות לכך על פי החוק האירופי עצמו. אך הפעילות של סוכנויות הביון היא לפעמים כה סודית עד שגורמים רשמיים באיחוד האירופי לא מודעים להן בעצמן. ז'יל דה קרשוב, מתאם הפעילות נגד הטרור של האיחוד האירופי, סיכם זאת כשאמר ש"אנחנו חייבים למצוא את האיזון הנכון בין הגנה על הפרטיות לבין חקירת פשעים".