Spyware Pegasus dari NSO Group digunakan untuk menyasari 1.223 pengguna WhatsApp di 51 negara berbeda selama kampanye peretasan tahun 2019, menurut dokumen pengadilan baru.
Dokumen tersebut dipublikasikan pada hari Jumat sebagai bagian dari gugatan yang diajukan WhatsApp yang dimiliki Meta terhadap NSO Group pada tahun 2019, menuduh pembuat teknologi surveilans tersebut memanfaatkan kerentanan dalam aplikasi obrolan untuk menyasari ratusan pengguna, termasuk lebih dari 100 aktivis hak asasi manusia, jurnalis, dan 'anggota masyarakat sipil lainnya'.
Pada saat itu, WhatsApp mengatakan sekitar 1.400 pengguna telah disasari. Sekarang, sebuah pameran yang dipublikasikan dalam dokumen pengadilan menunjukkan tepat di negara mana 1.223 korban spesifik berada saat mereka disasari dengan spyware Pegasus dari NSO Group.
Pembagian negara merupakan wawasan langka tentang pelanggan NSO Group yang mungkin lebih aktif, dan di mana korban dan target mereka berada.
Negara-negara dengan korban terbanyak dari kampanye ini adalah Meksiko, dengan 456 individu; India, dengan 100; Bahrain dengan 82; Maroko, dengan 69; Pakistan, dengan 58; Indonesia, dengan 54; dan Israel, dengan 51, menurut grafik berjudul 'Jumlah Korban Berdasarkan Negara,' yang diserahkan WhatsApp sebagai bagian dari kasus tersebut.
Juga ada korban di negara-negara Barat seperti Spanyol (12 korban), Belanda (11), Hungaria (8), Prancis (7), Inggris (2), dan satu korban di Amerika Serikat.
Dokumen pengadilan dengan daftar korban berdasarkan negara pertama kali dilaporkan oleh situs berita Israel CTech.
“Banyak artikel berita telah ditulis selama bertahun-tahun yang mendokumentasikan penggunaan Pegasus untuk menyasari korban di seluruh dunia,” kata Runa Sandvik, seorang pakar keamanan cyber yang telah melacak korban perangkat lunak mata-mata pemerintah selama bertahun-tahun.
“Apa yang sering hilang dari artikel-artikel ini adalah skala sebenarnya dari penyasaran — jumlah korban yang tidak diberitahu; yang tidak memeriksa perangkat mereka; yang memilih untuk tidak membagikan cerita mereka secara publik. Daftar yang kita lihat di sini — dengan 456 kasus di Meksiko saja, sebuah negara dengan korban aktivis masyarakat sipil yang terdokumentasi, yang jelas-jelas menunjukkan skala sebenarnya dari masalah spyware,” kata Sandvik kepada TechCrunch.
“Apakah Anda memiliki informasi lebih lanjut tentang NSO Group, atau perusahaan spyware lainnya? Dari perangkat dan jaringan non-pekerjaan, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.”
Data lain yang menunjukkan skala masalah spyware pemerintah adalah bahwa kampanye peretasan yang menyasar pengguna WhatsApp terjadi hanya dalam waktu dua bulan, “antara sekitar April 2019 dan Mei 2019,” seperti yang ditulis WhatsApp dalam gugatannya yang asli.
Dengan kata lain, hanya dalam dua bulan, pelanggan pemerintah NSO Group menyasari lebih dari seribu pengguna WhatsApp.
Perlu dicatat bahwa tidak jelas apakah fakta bahwa ada korban yang berada di negara tertentu berarti pemerintah negara tersebut merupakan pelanggan yang menggunakan spyware NSO Group untuk menyasari korban-korban tersebut. Memungkinkan bahwa pelanggan pemerintah dapat menggunakan Pegasus untuk menyasari seseorang di luar negara itu.
Sebagaimana yang dicatat oleh CTech, Suriah muncul dalam daftar korban, tetapi NSO Group tidak dapat mengekspor teknologinya ke Suriah, negara yang dikenai sanksi oleh negara-negara di seluruh dunia.
Jumlah korban juga memberikan wawasan tentang siapa mungkin menjadi pelanggan terbesar NSO Group. Perusahaan seperti NSO Group, dan pendahulu lainnya seperti Hacking Team dan FinFisher, menentukan harga untuk menawarkan produk surveilans mereka kepada pelanggan mereka sebagian berdasarkan jumlah target yang dapat terinfeksi secara bersamaan dengan spyware.
Meksiko, misalnya, dilaporkan telah menghabiskan lebih dari $60 juta untuk spyware NSO Group, menurut artikel New York Times tahun 2023 yang mengutip pejabat Meksiko, yang dapat menjelaskan mengapa ada begitu banyak target Meksiko dalam daftar ini.
Tahun lalu, WhatsApp mencetak kemenangan bersejarah ketika hakim yang menangani gugatan tersebut memutuskan bahwa NSO Group telah melanggar hukum peretasan AS dengan menyasar pengguna WhatsApp. Langkah berikutnya dalam gugatan tersebut adalah sidang yang akan datang yang akan menentukan ganti rugi yang harus dibayar oleh pembuat spyware kepada WhatsApp.
Selain daftar korban ini, kasus pengadilan yang dibawa oleh WhatsApp telah mengungkapkan hal-hal lain, termasuk fakta bahwa NSO Group memutuskan hubungan dengan 10 pelanggan pemerintah setelah laporan bahwa mereka menyalahgunakan spyware tersebut, dan bahwa alat peretasan WhatsApp yang diproduksi oleh NSO Group memiliki biaya hingga $6,8 juta untuk lisensi satu tahun, yang pada total membuat perusahaan tersebut “setidaknya memperoleh pendapatan sebesar $31 juta pada tahun 2019.”
Juru bicara WhatsApp Zade Alsawah menolak untuk berkomentar. NSO Group tidak menanggapi permintaan untuk komentar.
