בבת אחת, המבט שנעץ בי מארק צוקרברג השתנה.
- לא רוצים לפספס אף כתבה? הצטרפו
עוד כתבות למנויים:
- לדבר עם האויב: איך מנהלים משא ומתן עם האקרים זדוניים
- הם נחמדים: ההאקרים שעוזרים לחברות
- איך עובד האלגוריתם של פייסבוק? הישראלי הכי בכיר בחברה מסביר
זה היה בפברואר האחרון, בוועידה במינכן, מיד אחרי ששאלתי אותו על התביעה שהחברה שלו, פייסבוק, הגישה נגד חברת הסייבר ההתקפי הישראלית, NSO. פייסבוק טוענת בתביעה, שתוכנת הפריצה של NSO שימשה לחדירה לטלפונים סלולריים, דרך אפליקציית וואטסאפ, ששייכת לפייסבוק. NSO טוענת לעומת זאת, שאין לה קשר ישיר לפריצה הספציפית, ושממילא, כך נלחמים היום בטרור, פשע מאורגן ורשתות פדופיליה. "אז יכול להיות שבתביעה הזו", שאלתי את צוקרברג, "אתם תפגעו ביכולת של מדינות רבות לפעול נגד האנשים הרעים באמת?"
הארשת הגיקית-רובוטית של צוקרברג לפתע התקשחה. "אם NSO חושבת שמה שהיא עשתה היה חוקי, שתוכיח את זה בבית המשפט", הוא ענה, והיה ניכר שהוא בקיא בפרטי הפרטים של העימות הזה. "אבל ההשקפה שלנו היא שזה לא חוקי לחדור לתוך תוכנה (הכוונה לוואטסאפ) שמיליארדי אנשים ברחבי העולם עושים בה שימוש, כשהם בטוחים שהשימוש בה בטוח, ולגנוב משם מידע. אם הם חושבים שמה שהם עושים זה צודק - שיוכיחו את זה".
וזה בדיוק מה ש-NSO מנסים להוכיח, ופייסבוק להראות את ההפך. ולכן תיק התביעה האזרחית 4:19-cv-07123-PJH בבית המשפט המחוזי של צפון קליפורניה, הפך לזירת מלחמה בין שתי ענקיות של העידן הדיגיטלי: מהצד האחד, הרשת החברתית הגדולה בעולם, שחוטפת בשנים האחרונות אש מכל עבר; ומהצד השני חברת הסייבר מהרצליה, שמתגאה בכך שהיא מסייעת ללחימה בטרור וללכידת ארכי־פושעים, כמו ברון הסמים אל-צ'אפו, אבל סופגת גם טענות על שכלי הפריצה שלה משמשים רודנים ופוגעים בפעילי זכויות אדם.
המשפט רק בתחילתו, אבל כבר עכשיו הוא מסעיר את התקשורת העולמית. כמה מהטענות שעולות בו חושפות צדדים אפלים ולא ידועים, על האפליקציות שכולנו משתמשים בהן באינטנסיביות. פייסבוק, למשל, טוענת שהכלי שהישראלים פתחו, יכול היה לחדור לטלפון רק באמצעות צלצול. זהו. קיבלתם שיחת וואטסאפ ממספר לא ידוע ואפילו לא עניתם? יכול להיות שגם הטלפון שלכם נפרץ. ומאותו רגע, כל התוכן שלכם - השיחות, התכתבויות הווטסאפ, הצילומים - את הכל אפשר "לשאוב" החוצה. NSO, לעומת זאת, טענה בבית המשפט שפייסבוק בעצמה השתמשה במעין כלי ריגול אחרי משתמשיה. ועוד משהו קטן: שלפני כארבע שנים, פייסבוק היא זו שפנתה ל-NSO וביקשה להשתמש ביכולותיה, וסורבה.
בשבועות האחרונים ניהלנו סדרת שיחות עם אישים בכירים משתי החברות המתגוששות, ונברנו באינספור מסמכים וטענות שהן מטיחות זו בזו. בסוף המסע המפחיד והמרתק הזה בין קליפורניה להרצליה, דבר אחד בטוח: זה אחד המשפטים החשובים של השנים האחרונות - והוא עומד להשפיע מאוד על מה שתאגידי ענק עושים עם המידע הפרטי של כולנו.
לעובדים ששבו מחופשת סוף השבוע בבוקר 29 באפריל 2019, זה היה נראה כמו עוד יום שני רגיל במטה וואטסאפ שבמנלו פארק, קליפורניה, לא הרחק מפאלו־אלטו. "אבל אז", כך משחזר גורם המקורב לחברה בשיחה עמנו, "החלו מחשבי הבקרה בוואטסאפ לאותת שמשהו מוזר מאוד קורה באפליקציה".
כשדבר כזה קורה באפליקציה שיש לה מעל שני מיליארד משתמשים רשומים בעולם, כל נורות האזהרה נדלקות. המהנדסים של וואטסאפ עזבו הכל והתיישבו לפתור את פשר שורות הקוד המסתוריות שריצדו מולם. הם גילו שיש קבוצה של מספרי טלפון סלולריים מארה"ב ומאירופה, שמוציאה שיחות וואטסאפ לטלפונים אחרים. וברגע שיש חיוג – משוגר לטלפון הנמען קוד מוזר.
לקח לאנשי וואטסאפ כמה ימים להבין מה לעזאזל קורה שם. אחרי כשבועיים צילצל אליי מקור אמריקאי. "אתה לא מאמין מה הם עשו עכשיו!" הוא התפרץ בהתרגשות. "מי עשה, מה עשה?" שאלתי, והמקור צלל לתוך נבכי הסיפור. לדבריו, NSO גילתה פִרצה נדירה במערך ההפעלה של וואטסאפ, ופיתחה יכולת מדהימה להתקשר לבעל הטלפון שעליו מותקנת וואטסאפ, ורק באמצעות הצלצול עצמו - לשתול אצלו בטלפון את תוכנת הריגול המתקדמת ביותר שלה, "פגסוס". מהרגע הזה, מתאפשרת שאיבה של כל תוכן הטלפון, ניטור של כל מה שכתוב, מוקלט ומצולם בווטסאפ, פתיחת המיקרופון והמצלמה למעקב אחר הנעשה בחדר ועוד.
הפרסום בתקשורת העולמית על החדירה חולל סערה. וואטסאפ הודיעה מיד כי הפרצה ("חולשה" בלשון מקצועית) נסתמה, אבל ב-NSO לא הכחישו ולא אישרו מעורבות בפרשה. אולי קיוו כי כמו שקרה לא פעם בשנים האחרונות, תוך כמה ימים הכל יחלוף ויישכח.
לא הפעם. בוואטסאפ ובחברת־האם פייסבוק, החליטו שהם לא שותקים. באוקטובר שלחה וואטסאפ לכל 1,400 הטלפונים שהיא גילתה כי נפרצו, הודעת אזהרה: "עצרנו מתקפה של גורם סייבר מתקדם, שהתקין תוכנת זדון... ייתכן שמכשיר זה נפגע". שעות אחדות לאחר מכן, הגישו וואטסאפ ופייסבוק בקליפורניה תביעה אזרחית כנגד NSO. בתביעה נטען כי מתוך 1,400 היעדים לתקיפה של "פגסוס" שאותרו, לפחות 120 הם "עורכי דין, עיתונאים, פעילי זכויות אדם, מתנגדים פוליטיים, דיפלומטים ובכירים אחרים בממשל זר".
בתביעה מתבקש בית המשפט לקבוע כי NSO הפרה שורה של חוקי מחשבים וסייבר אמריקאיים, להורות לה לחדול לאלתר מכל ניסיונות פריצה דרך וואטסאפ, ולפסוק תשלום פיצויים בגין הנזק שנגרם. ואם כל זה לא מספיק, אנשי פייסבוק גם לקחו את כל החומר שאספו, כרכו יפה, והוציאו באמצעות שליח מאובטח ל-FBI, עם דרישה שהבולשת תפתח בחקירה מקיפה נגד החברה הישראלית. לא פחות. "בחומר יש ראיות כדי להוכיח מעורבות ישירה של NSO לא רק בייצור התוכנה אלא גם בהפעלת ההתקפות, זאת בניגוד לטענה של החברה", טוען גורם המקורב לפייסבוק, אשר נחשף לחומר שהוגש ל-FBI. וגורם אחר, משתמש בביטוי אמריקאי ידוע: "NSO נתפסה עם היד שלה עמוק בתוך צנצנת העוגיות. בעצם, לא רק עם היד אלא עם שתי הידיים, והעיניים והאוזניים".
ב-NSO הבינו שלא רק שהוכרזה עליהם מלחמה, הם גם מתמודדים מול אחת החברות הגדולות והחזקות בעולם. ההשלכות של מה שיקרה בתיק הזה הן הרבה מעבר לקרב על כסף, או על 1,400 טלפונים פרוצים: אם התביעה תתקבל, מה יעשו כל שירותי הביטחון בעולם, שקנו את כלי הפריצה של NSO? מה יותר חשוב: ביטחון או פרטיות? ומה הגבול של תאגידי ענק בחדירה למידע האישי של המשתמשים? לכן, הרבה מאוד עיניים נשואות לאולם בית המשפט בקליפורניה.
אז אנשי החברה הישראלית החליטו להשיב אש. "NSO רק מייצרת את התוכנה, היא כלל לא מעורבת בפעילות התקיפה והאיסוף", אומר גורם המקורב לחברה. "הפכנו לשֹה לעולה של פייסבוק, שתוקפים אותנו, כדי להצטייר כלוחמים למען הזכות לפרטיות, אל מול גלי הביקורת נגדם".
אבל הם טוענים שפרצו באמצעות הכלי שלהם לפעילי זכויות אדם, למשל.
"איזה פעילים ואיזה זכויות? המטרות לתקיפות הן מחבלים, פושעים, סוחרי סמים, חוטפי ילדים, רוצחים וגנבים, חלק גדול מהם עם דם על הידיים. האזהרה שווטסאפ העבירה לאותם 1,400 משתמשים, שמיד חדלו מלהשתמש בטלפונים שלהם, קטעה שורת מבצעי מניעה ואכיפה, והורידה אל מתחת לרדאר פעילי טרור ופדופילים".
ואכן, יש הטוענים כי כל הרקע למתקפה של פייסבוק נגד NSO הוא חלק ממגננה של הרשת החברתית, כנגד הביקורת שנמתחת עליה בשנים האחרונות. אן־אס־או, לפי ההסבר הזה, הייתה פשוט במקום הלא־נכון ובזמן הלא־נכון. "שמע", אומר גורם מודיעיני שעושה שימוש ב'פגסוס' של אן־אס־או, "מדובר בחברה מעולה עם מוצרים פורצי דרך ביכולות החדירה שלהם, אבל הפעם לדעתי הם הסתבכו מעל הראש. זו מלחמה שהם יפסידו".
למה?
"כי אי-אפשר לנצח את צוקרברג".
"מה הסתבכו? עם מי הסתבכו?" עונה גורם המקורב מאוד ל-NSO. "מי הם חושבים שהם? הם אלה שהפלטפורמות שלהם משמשות מחבלים ופושעים, והם אלה שלא נותנים גישה למידע שם. אפשר הרי לסגור את התביעה ואת NSO מחר בבוקר, אם פייסבוק יפתחו את המחשבים שלהם לגורמי ביון ואכיפה בכל העולם, כדי שיוכלו למנוע טרור ולעצור חוטפי ילדים. ועד שיעשו את זה, שישתקו בבקשה. נגד מי הם ינהלו מלחמה? נגד ה־BfV הגרמני (הביון המקביל לשב"כ), שקנה מערכת סייבר מ'קנדירו' (חברה מקבילה ומתחרה לאן־אס־או)? נגד שירותי הביון באירופה שמפעילים את 'פגסוס'? הדם של הקורבנות יהיה על הידיים שלהם אחר כך".
קבוצת NSO הוקמה ב־2010 על ידי שלושה שותפים, ששמותיהם הפרטיים הפכו לראשי התיבות של החברה: ניב כרמי, שלו חוליו ועמרי לביא. מטה החברה יושב בהרצליה, היא מעסיקה כ־600 עובדים, וב־2018 דיווחה על מחזור מכירות של כרבע מיליארד דולר. מוצר הדגל של החברה, תוכנת "פגסוס", היה הפתרון שכל כך הרבה רשויות חוק בעולם חיפשו מתחילת המילניום: העולם עבר לתקשר באמצעות הסלולר, אבל האפליקציות המרכזיות - פייסבוק, וואטסאפ, טלגרם, סקייפ ועוד - העניקו למשתמשים הצפנה מקצה לקצה. במילים אחרות: ברגע שההודעה, השיחה, הסרטון וכו' נשלחו, הם הוצפנו, ופוענחו רק במכשיר של הנמען. אלו חדשות מצוינות למשתמשים הפרטיים, אבל מכיוון שגם טרוריסטים וארגוני פשיעה השתמשו באפליקציות הללו, רשויות החוק נותרו עיוורות.
"פגסוס", היא תוכנת פריצה שחודרת לטלפון, "לוכדת" את המידע עוד לפני שהוא מוצפן - ומעבירה אותו לגורם שלישי. NSO שיכללה יותר ויותר את יכולותיה, והיום "פגסוס" מאפשרת גם להפעיל מרחוק את ה-GPS של המכשיר, כך שיתקבל מיקום של בעליו; להפעיל את המצלמה והמיקרופון שלו, כך שניתן לראות ולשמוע מה הוא עושה; וכאמור, לראות את תכתובות המייל, הפייסבוק, הוואטסאפ וכל תוכנה אחרת, לפני שהן מוצפנות.
מכיוון שמדובר בכלי סייבר התקפי בעל עוצמה רבה, NSO חייבת לקבל אישור של משרד הביטחון לפני כל עסקה שהיא מבצעת, ומוכרת את "פגסוס" למדינות בלבד. אלא שגם מדינות הן לא תמיד תמימות, ונגד NSO הועלתה שורה של טענות ברחבי העולם, לפיהן ממשלות כמו מקסיקו ופנמה שרכשו את '"פגסוס", עשו בתוכנה שימוש כנגד גורמי אופוזציה לגיטימיים, פעילי זכויות אדם, עיתונאים ועוד. באחד המסמכים שהוגשו לבית המשפט, נוקבת וואטסאפ גם בשמן של שתי המדינות שחתמו על הסכם שלום עם ישראל השבוע: איחוד האמירויות ובחריין. שתיהן כידוע, לא ממש דמוקרטיות סקנדינביות. פייסבוק וגורמים בינלאומיים נוספים טוענים כי גם במדינות הללו, אותרו עקבות של "פגסוס", אצל אנשים שאין להם דבר וחצי דבר עם פשע וטרור.
ב-NSO מכחישים כל מעורבות כזו. "התנ"ך שלנו מהיום הראשון היה שאנחנו רק בונים תוכנה ומוכרים אותה, לא מפעילים אותה או שותפים להפעלה שלה באיזושהי צורה", מסביר גורם בכיר בחברה. "אנחנו גם מתעקשים מהיום הראשון למכור רק למדינות ריבוניות, ולא לכולן. אנחנו לא מוכרים למדינות בעייתיות או לסוכנויות ממשלתיות שנראות לנו חשודות".
אבל הפרסומים השליליים הרבים מאוד בעולם עשו את שלהם, והתדמית של NSO הפכה לשנויה במחלוקת, בלשון המעטה. בינתיים, גם פייסבוק חטפה לא מעט אש, על השימוש שהיא עושה במידע שהיא אוספת על לקוחותיה לצרכים מסחריים, ועל השימוש שגורמים זדוניים עושים בפלטפורמה שלה, לרבות הפצת פייק־ניוז ואפילו הטיית הבחירות בארה"ב. צוקרברג ואנשיו הבטיחו שהחברות שלהם יהיו הרבה יותר בטוחות, שקופות והוגנות.
על הרקע הזה הגיעה התביעה. "בין אפריל 2019 לסביבות חודש מאי 2019", נכתב בפתיחת כתב התביעה, "הנתבעים השתמשו בשרתי ווטסאפ הממוקמים בארה"ב ובמקומות אחרים, כדי לשלוח תוכנות זדוניות לכ־1,400 טלפונים ניידים".
איך בדיוק? לפי כתב התביעה, בין ינואר 2018 לסוף אפריל 2019, הקימה NSO תשתית אדירה של שרתים וחשבונות וואטסאפ הקשורים למספרי טלפון בקפריסין, בברזיל, באינדונזיה, בשוודיה, בהולנד ובארה"ב. דרך המספרים האלה הם ניצלו כאמור פרצה שגילו על השרתים של וואטסאפ. ואז, המספרים יזמו שיחות ווטסאפ לניידים של המטרות למעקב. באופן הזה, "הנתבעים עיצבו הודעות ייזום שיחות המכילות קוד זדוני, כדי להיראות כמו שיחה לגיטימית והסתירו את הקוד בהגדרות השיחה".
אם הטענה הזו נכונה, הרי שמדובר בהישג טכנולוגי משמעותי, בוודאי אחד מהמתקדמים ביותר שנחשפו עד היום בתחום החדירות לטלפונים ומכשירים ניידים - ולא פחות מזה, הוא גם הישג מפחיד. בעבר, כדי לפרוץ למכשיר סלולרי, בעל המכשיר היה צריך לקבל בהודעה קישור מסוים, ולהיות מספיק תמים כדי להקליק עליו. אם הטענות של פייסבוק נכונות, הרי ש-NSO הגיעה למה שמכונה בעגה המקצועית פריצת Zero Click: חדירה לטלפון של היעד גם בלי שום מעורבות שלו. עצם הצלצול גרם לטלפון בצד השני, דרך השרת המרכזי של וואטסאפ, להוריד את "פגסוס". וזהו. המכשיר היה פרוץ. בשלב הבא, כך נטען, "פגסוס" הופעלה במכשיר, ויצרה קשר בינו לבין שרתי מחשב נסתרים של NSO ברחבי העולם, שם נאגר החומר.
ההפעלה של "פגסוס" והאיסוף של המידע - הם בעצם מהות התביעה. את הנקודה הזו חשוב להבין: אם NSO יצרו כלי פריצה ומכרו אותו באישור, זה עניין אחד. אבל אם הם גם הפעילו אותו, או לפחות תיפעלו את התשתית שלו והחומר נאגר על שרתים שלהם - שחלקם על אדמת ארה"ב - זה מבחינת האמריקאים סיפור אחר לגמרי. אדם שבקיא בנבכי התביעה ותומך בעמדה של פייסבוק, מסביר זאת כך: "זה הבדל שבין חברה שמייצרת פצצות, ומוכרת אותן למישהו אחר, לבין חברה שהיא גם מייצרת את הפצצות - ואחר כך גם שותפה בהטלה שלהן".
אם פייסבוק תוכיח ש-NSO הייתה מעורבת בהפעלה של "פגסוס" ובאיסוף המידע, החברה הישראלית עלולה למצוא את עצמה בצרה. ולא רק עם ארה"ב, אלא גם פה בבית, במדינת ישראל. המדינה מאשרת ל-NSO למכור את הכלי עצמו וגם זה, תחת מגבלות והיתרים. אבל להפעיל אותו ממש? בישראל, ריגול מותר רק על ידי המוסד, אמ"ן ושב"כ. לא על ידי חברות פרטיות מהרצליה.
והנה, באים צוקרברג ואנשיו וטוענים שזה בדיוק מה ש-NSO עשו.
כדי להוכיח את הטענה הזו, פייסבוק מצטטת התבטאות של עובד NSO, שמיד עם הפרסום הראשון על הפריצה והתיקון בווטסאפ, כתב לטענתם: "אתם הרגע סגרתם את נתיב (החדירה) הגדול ביותר שלנו לסלולר... זה בחדשות בכל רחבי העולם".
הדגש הוא כמובן על המילה "שלנו". בפייסבוק מפרשים את המשפט הזה כאילו אותו עובד מודה שאן־אס־או הם לכאורה המבצעים בפועל של החדירה. בפייסבוק לא פירטו מהיכן יש להם את ההתבטאות הזו, מי אמר אותה, למי ומתי. בתגובה לפנייתנו, אמרו כי הדברים ייחשפו במסגרת המשפט.
פייסבוק מציגה ראיה לכאורה נוספת לטענותיה: כתבה שפורסמה במוסף זה בינואר 2019, שכללה גם ראיון מקיף ראשון עם המנכ"ל והמייסד של NSO, שלו חוליו. הכתבה כללה בין השאר תיאור של הפעילות של NSO עבור המודיעין במקסיקו, במאבקו בקרטלי הסמים, ובמיוחד בברון הנרקוס מספר אחת: אל־צ'אפו. בכתבה מסופר כי טלפון סלולרי שהובא לשחקנית טלנובלות שהייתה מקורבת לאל־צ'אפו, הוטס במיוחד לישראל וזכה ל"חליפת חדירה מיוחדת". מאותו רגע, המודיעין המקסיקני ניטר את השיחות בין ברון הסמים לשחקנית, ושם התברר כי השחקן שון פן מתעתד לפגוש את אל־צ'אפו. המעקב של "פגסוס" אחרי הטלפון של השחקנית שהגיעה עם שון פן, סייע בסופו של דבר ללכידתו הדרמטית של אל־צ'אפו.
"וזו הרי ההוכחה הכי טובה", אומר גורם המקורב להנהלת פייסבוק, "למעורבות של NSO בנימים ובפרטים הקטנים של מבצע ספציפי. זה ממש לא למכור תוכנה ולשכוח, כמו ש-NSO טוענת".
באותה כתבה, גם הכחיש חוליו את אחת הטענות שחוזרות שוב ושוב כלפי NSO: שהחברה מילאה תפקיד באיתורו של העיתונאי הסעודי המפורסם ג'מאל ח’אשוקג'י, שנרצח בשגרירות סעודיה באיסטנבול וגופתו בותרה. חוליו טען כי ל"פגסוס" אין כל קשר לפרשה, וש-NSO בדקה את העניין מול לקוחותיה, "גם באמצעות שיחות וגם בדיקה טכנולוגית, שאי־אפשר לרמות אותה... אי־אפשר לפעול על יעד כזה בלי שנוכל לבדוק זאת... הסיפור פשוט לא נכון".
פייסבוק טוענים שההכחשה הזו ובצידה התיאור על אותה "בדיקה טכנולוגית", היא הוכחה לכך של-NSO יש נגישות מלאה למבצעים וליעדים ולתקיפות המבוצעות בידי הקליינטים שלה, באמצעות המוצרים שלה.
ב-NSO, לעומת זאת, ממשיכים לטעון שלא היו דברים מעולם. "אנחנו לא מעורבים בכל צורה בתקיפות. כשמוכרים את 'פגסוס', שואלים את הלקוח אם הוא רוצה שאנחנו נקים עבורו את השרת. אם כן, אז אנחנו מקימים שרת ייחודי לטובת הלקוח המסוים הזה, ומנתקים מגע באותו רגע. ברוב הפעמים הלקוחות לא רוצים שאפילו נהיה מעורבים בשלב הזה, ורק לוקחים מאיתנו את התוכנה. אומרים תודה, שלום וממדרים אותנו מכל מידע נוסף על מה ואיך הם ישתמשו ב'פגסוס'".
אבל חוליו סיפר על בדיקה בפרשת ח’אשוקג'י, למשל. איך זה מסתדר עם הטענה שלך?
"את רשימת המטרות אנחנו רואים רק בדיעבד, רק אם התחילה חקירה, ורק בהסכמת הלקוח. זה דומה לרכב שיגיע למוסך, ושם יחברו אותו למחשב שיראה את כל מה שקרה לו מאז הביקור האחרון. אם זו הטענה המרכזית של פייסבוק - אני שקט".
לא בטוח שב-NSO כל כך שקטים ורגועים. לא לנוכח כמות עורכי הדין שגייסה לפרשה, בישראל (לאחרונה צורף גם רועי בלכר לצוות) וגם בארה"ב; ובמיוחד לא אחרי ש-NSO עתרה לבית המשפט בקליפורניה בבקשה לדחות את העתירה על הסף - ונדחתה.
לבקשה הזו צוּרף תצהיר מעניין במיוחד של המנכ"ל שלו חוליו בעצמו. חוליו טוען כי הלקוחות מצהירים ש'פגסוס' תשמש, "רק למניעה וחקירה של טרור ופעילות פלילית... ולא תשמש להפרות זכויות אדם". מי שלא יפעל כך, "יושעה השירות ללקוח עד לסיום החקירה נגדו... אם החקירה העלתה כי אכן נעשה שימוש לרעה - החוזה עם הלקוח יופסק באופן מלא".
עוד טוען חוליו ש-NSO לא פעלה נגד אזרחים אמריקאים, ו'פגסוס' מתוכנתת כך שבכלל לא ניתן להשתמש בה "נגד מספרי טלפון ניידים בארה"ב", ואפילו לא "נגד מכשיר בגבולות הגיאוגרפיים של ארה"ב". ולכן, אין בכלל לבית המשפט בקליפורניה סמכות לדון בתביעה שהגישה פייסבוק.
אבל לקראת סוף התצהיר, מגיעה הפצצה האמיתית: "באוקטובר 2017 פנו אל NSO שני נציגי פייסבוק", טוען המנכ"ל חוליו, "אשר ביקשו לרכוש את הזכות להשתמש ביכולות מסוימות של 'פגסוס'". כלומר, לטענת NSO, פייסבוק בעצמה רצתה להשתמש ביכולות של התוכנה - שבגללה היא עכשיו תובעת.
לפי חוליו, בפייסבוק היו מעוניינים לרכוש יכולות של "פגסוס", לא את החבילה כולה, כדי לאפשר לה שיפור איסוף המידע על העדפות המשתמשים (אתרים וחיפושים) גם באפליקציות אחרות בטלפון. הסיבה: פייסבוק יודעת לאסוף מידע על המשתמשים של עצמה או של וואטסאפ, אבל היא לא יכולה לאסוף מידע על אפליקציות מוצפנות אחרות, כמו גוגל למשל. "פגסוס" תפתור לה את הבעיה הזו. חברה בשם "אונאבו", כך טוען חוליו, נרכשה על ידי פייסבוק, בדיוק למטרה הזו. החברה הזו, שהוגדרה בכמה מקומות כחברת ריגול, הוסרה מחנויות אפל מאוחר יותר.
מה קרה עם ההצעה של פייסבוק? "NSO סירבה למכור", כותב חוליו, "והודיעה לפייסבוק כי היא מעניקה רישיון לטכנולוגיית 'פגסוס' רק לממשלות".
בפייסבוק אומרים לנו כי מדובר בסילוף: לטענתם, איש החברה הכיר מישהו מ-NSO "על רקע אישי", והתקשר אליו להתייעצות טכנית בנושא כלשהו. לא הייתה שם התעניינות ברכישה ולא שום דבר קרוב לזה. ביקשנו משני הצדדים מסמכים להוכחת טענותיהם. גם ב-NSO וגם בפייסבוק סירבו, ואמרו שהראיות יוצגו בבית המשפט.
5 צפייה בגלריה
שלו חוליו, מנכ''ל חברת NSO, טוען שפייסבוק ביקשה לרכוש שימוש ביכולות של פגסוס
(צילום: אביטל פלג)
ויש עוד עניין מהותי: זהותם של 1,400 האנשים, שלכאורה מכשיר הטלפון שלהם נפרץ. בפייסבוק טוענים כאמור כי זיהו שם לפחות 120 פעילים פוליטיים, עיתונאים, פעילי זכויות אזרח ועוד. שאלנו השבוע אם אפשר לראות את הרשימה הזו. גורם המקורב לתביעה אומר כי "אנחנו מחויבים לביטחון ולדיסקרטיות של המותקפים. תאמין לי, הייתי שמח מאוד לחשוף בפניך את הרשימה הזו. זה היה עוזר לנו. היית מבין מהר מאוד על מה ועל מי מדובר".
וב-NSO? ניחשתם נכון: אומרים אותו דבר - רק ההפך. גורמים המקורבים לחברה חוזרים ומדגישים כי הם אינם אחראיים לקביעת המטרות עצמן, אבל טוענים כי למשל שורת מפקדים בכירים באל־קאעידה, ובהם עבדל אל־מאלכ אל־דרוקל, מפקד הארגון באזור המגרב, היו תחת מעקב של מדינה מערב־אירופית, שמשתמשת ב'פגסוס'. אלא שברגע שוואטסאפ שלחה התראות ל־1,400 האנשים שטלפוניהם נפרצו - המפקדים הבינו כי הם במעקב, וחדלו מלהשתמש בטלפון. אגב, אל־דרוקל עצמו חוסל בידי המודיעין הצרפתי ביוני, אך הטלפון שלו המשיך להיות בשימוש בידי מישהו אחר, והוא זה שקיבל את האזהרה.
"החלק של האזהרה הרבה יותר חמור מאשר תיקון הפרצה", אומר גורם בכיר, שבקיא במערך החדירה שהופעל דרך וואטסאפ. "וואטסאפ שלחה הודעות לכל המטרות, והם למדו לראשונה שמישהו עוקב אחריהם וחדר להם לטלפון. את זה, ההם מאל-קאעידה יכלו אולי לחשוד או לנחש, אבל כאן יש להם הוכחה שזה אכן קרה. ברור מה הם יעשו מיד אחר כך".
גורם נוסף אומר: "אני בכלל לא מוציא מכלל אפשרות סיטואציה שמשפחה של קורבן טרור או פשיעה תגיש תביעה נגד וואטסאפ ופייסבוק על כך שבמעשים שלהן, הם מנעו את פענוח הפשע או מניעת הפיגוע. אני רוצה לראות אותם אז גיבורים".
ב-NSO לא היו מוכנים להציג בפנינו הוכחות לטענה שהאזהרה ששיגרה וואטסאפ גרמה לטרוריסטים ולפושעים להיעלם מהרדאר. אבל גורם מודיעין אירופאי בכיר, שמתוקף תפקידו אחראי על הפעלת ה'פגסוס' בארצו, אישר בשיחה עמנו כי האזהרה פגעה בחקירות מתנהלות. "זה שווטסאפ אחראית לביטחון הפלטפורמה שלה - אני בהחלט יכול להבין. זה גם לא היה כזה אסון מבחינתנו, כי אנחנו משתמשים בכמה חברות במקביל, לא רק ב-NSO, ולכן, כשחסמו את הכניסה דרך הוואטסאפ, הפעלנו מיד אמצעי אחר, והמעקב נמשך. אבל אני מאוד־מאוד כעסתי כשהם שלחו את האזהרה".
למה, בעצם?
"כי זה גרם באופן מיידי לשני ראשי כנופיות פשע מאורגן, שהיו בעיצומם של שני מעשי חטיפות לצורכי כופר, להפסיק להשתמש בטלפון, וגרם לפגיעה משמעותית בעוד שורה של מבצעים נגד מחבלים ופושעים כבדים. אצלנו משתמשים ב'פגסוס' רק למטרות הראויות, האנשים שאנחנו עוקבים אחריהם הם חשודים בעבירות כבדות מאוד. והנה, באים אלה ומזהירים אותם שאנחנו עוקבים אחריהם".
בפייסבוק ובוואטסאפ אומרים שיש דרכים חוקיות למעקב אחרי אנשים כאלו, כמו צווים של בתי משפט שיורו להם לתת לכם מידע ושיתוף פעולה עם המודיעין האמריקאי.
"זו לכל פחות התחכמות, והם יודעים טוב מאוד שאין דרך אמיתית לקבל מהם את החומר. וואטסאפ יצרו בכוונה מערכת שבה הם לא יכולים כלל להיענות לצרכים שלנו כי התקשורת מוצפנת, כך הם אומרים, גם מפניהם. כלומר גם אם נשיג צו של בית משפט, מה שייקח חודשים, גם אז הם כלל לא יוכלו לתת לנו את החומר, כי אין להם גישה אליו.
"ופייסבוק לא טובים יותר. ניסינו כמה פעמים לקבל מהם את כתובת ה־IP של משתמש מסוים, ששלח איומים או דרש כופר. אם כתובת ה־IP הייתה אצלנו במדינה, הם נתנו. אם לא, הם סירבו לתת, בטענה שהצו הוא מקומי. אמרנו: אוקיי, תגידו לנו באיזו מדינה נמצאת הכתובת ואנחנו נביא צו של בית משפט לשם. אבל הם סירבו למסור גם את זה. בקיצור, עשו הכל כדי שלא נצליח".
בתגובה חריגה להתבטאויות הללו, אומר השבוע דובר בשם וואטסאפ: "ככל שאנו מבלים יותר מזמננו ברשת, הצפנה מקצה לקצה נחוצה כדי להגן על אנשים מפני האקרים, פושעים ומדינות פורעות חוק, המבקשות לפרוץ לתקשורת הפרטית ביותר שלנו. בוואטסאפ ובפייסבוק ימשיכו לעבוד בצורה אחראית עם גורמי האכיפה, אך שיטות הפריצה המתוארות בתלונתנו נגד NSO אינן חוקיות. אנו מאמינים מאוד כי צריך לקיים איסור מוחלט על השימוש בכלים האלה ששימשו לחדירה לטלפונים של עיתונאים ופעילי זכויות אדם".
בינתיים, כדי לאותת שהפעם הם רציניים, בפייסבוק הלכו גם על הקלף האישי: כ־40 עובדי NSO בישראל גילו יום אחד שחשבון הפייסבוק הפרטי שלהם פשוט חסום. אורית עזרזר, ראשת צוות בכירה למשאבי אנוש, הייתה אחת מהם. "בהתחלה חשבנו שאו שזו תקלה, או שהשרתים של פייסבוק נפלו", היא משחזרת. "אף אחד לא העלה על דעתו שזה מעשה מכוון נגד העובדים שלנו. רק בהמשך קיבלנו הודעה גנרית, שאומרת בדיוק את זה".
במקרה של עזרזר, זה לא היה פשוט: "גדלתי בקנדה וכמעט כל הקשרים החברתיים שלי מתנהלים דרך הפייסבוק. פתאום נעלמתי להם. והכל בגלל האקט האלים והבריוני הזה של החברה הזו, שלא רואה אף אחד ממטר".
שמונה מהעובדים פנו לבית המשפט וביקשו צו שיורה לפייסבוק ישראל לפתוח להם את החשבונות. עד להכרעה סופית, בית המשפט הורה בינתיים לפייסבוק להשיב לפעילות את חשבונה של עזרזר. זה הרגע שבו התברר עד כמה בפייסבוק רואים במלחמה הזו עניין עקרוני: תאגיד הענק העולמי לקח את המקרה של אשת משאבי האנוש אורית עזרזר - ועירער לבית המשפט העליון בירושלים. שם, השופט נעם סולברג, דחה את הערעור, והורה לפייסבוק להשאיר את חשבונה של עזרזר פעיל.
ב-NSO אולי רשמו ניצחון קטן בקרב, אבל המלחמה הגדולה? לשני הצדדים ברור שהיא רק התחילה.
