Een Amerikaanse rechter heeft geoordeeld dat NSO Group verantwoordelijk is voor de spyware-aanval op veertienhonderd WhatsApp-gebruikers in 2019. WhatsApp-directeur Will Cathcart noemt de uitspraak een 'grote overwinning' voor privacy. Beveiligingsonderzoeker van Citizen Lab en spywware-expert John Scott-Railton spreekt van een grote overwinning voor spywareslachtoffers en een groot verlies voor NSO.

WhatsApp besloot NSO Group in 2019 aan te klagen nadat veertienhonderd WhatsApp-gebruikers met de Pegas-spyware van het bedrijf besmet waren geraakt. Het ging onder andere om journalisten, mensenrechtenactivisten en overheidsfunctionarissen. NSO had altijd beweerd dat de spyware alleen werd gebruikt voor het opsporen van terroristen en zware criminelen. Pegasus is spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.

Voor het infecteren van de veertienhonderd WhatsApp-gebruikers met de spyware werd gebruikgemaakt van een beveiligingslek in de chatapp. NSO stelde altijd dat het niet verantwoordelijk was voor de manier waarop klanten gebruikmaakten van de Pegasus-spyware. Uit documenten die het bedrijf voor de rechtszaak deelde bleek dit niet te kloppen. Het was NSO die Pegasus op de telefoons van slachtoffers installeerde en data verzamelde.

De Volkskrant meldde in 2022 dat de AIVD ook gebruik had gemaakt van de Pegasus-spyware. De rechter in de VS heeft nu geoordeeld dat NSO Group wel degelijk aansprakelijk is en Amerikaanse computermisbruikwetgeving en de voorwaarden van WhatsApp heeft overtreden. De rechtszaak zal volgend jaar maart worden voortgezet, waarbij zal worden gekeken naar de schade die het bedrijf moet vergoeden.

"We zijn vijf jaar met deze zaak bezig geweest omdat we geloven dat spywarebedrijven zich niet achter immuniteit zouden moeten kunnen verbergen of aansprakelijkheid vermijden voor hun onrechtmatige acties", aldus Cathcart op X. "Surveillancebedrijven moeten weten dat illegaal bespioneren niet wordt getolereerd." Volgens Scott-Railton zal de uitspraak grote gevolgen voor spywarebedrijven hebben. "Het is een slecht moment om een spywarebedrijf te zijn", merkt de expert op. Apple had ook een zaak tegen NSO Group ingediend, maar besloot die afgelopen september te laten vallen.