זה אולי נראה עכשיו כמו זיכרון רחוק, אבל לפני 9 חודשים, בשיא משבר הקורונה העולמי, העולם היה עסוק בטכנולוגיות חדשניות לניטור, זיהוי ומעקב של חולי קורונה ומפיצי הנגיף. בין איכוני השב"כ לאפליקציית המגן, נולדה גם יוזמה של שר הביטחון דאז, נפתלי בנט, לפיתוח מערכת חכמה לאיתור מגעים. מאוחר יותר נודע כי בנט מדבר על מערכת "פלמינג" של קבוצת NSO - יצואנית הסייבר ההתקפי הישראלית השנויה במחלוקת. כעת, מחקר חדש חושף כי NSO עשתה שימוש בדאטה אמיתי של לפחות 32 אלף אנשים, בהם ישראלים, כדי להדגים אופן הפעולה של המערכת מול ממשלות ועיתונאים בעולם.
המחקר נעשה מטעם קבוצת Forensic Architecture - סוכנות מחקרית היושבת באוניברסיטת לונדון ועוסקת בחקר הפרת זכויות אדם באמצעים שונים, על ידי ממשלות, משטרות וארגונים בעולם. הוא התבסס על מאגר מידע חשוף שאותר על ידי חוקר אבטחה בחודש מאי האחרון, והכיל למעשה את הדאטה שעליו התבססה מערכת "פלמינג" של קבוצת NSO.
עוד בנושא:
בזמנו, טענה החברה בהמשך לפרסומים על חשיפת המאגר כי "דמו של המערכת הוצג באופן שקוף ובתפוצה כלל עולמית הן ללמעלה מ-100 מדינות והן לעשרות עיתונאים בארץ ובעולם. הדמו הועלה בשקיפות מלאה לשרת ייעודי לטובת ההדגמה למדינות, לחוקרים, עיתונאים ולכל המעוניין. הדמו מבוסס על אילוסטרציה מעורבלת של נתונים אקראיים ואינו מכיל כל מידע מזהה אישי, שממילא לא מצוי בידי החברה".
אלא שכעת חושף הדוח המחקרי כי הדאטה היה אולי אקראי, אבל אמיתי לגמרי. לפי החוקרים, המערכת של NSO התבססה על יותר מחצי מיליון נקודות דאטה שונות, שנאספו מכ-32,000 טלפונים - כלומר, אנשים אמיתיים. איסוף המידע נעשה בפרק זמן של כחודש וחצי, והמערכת הכילה בסופו ש דבר דאטה של משתמשים מישראל, איחוד האמירויות, בחריין, סעודיה ורואנדה - כולן, לפי הדיווחים, צרכניות משלמות של תוכנת "פגסוס" של NSO.
לפי החוקרים, בניסיון להתחקות אחר תנועת הנקודות במפה, התגלה כי מדובר בדפוסי תנועה שתואמים אנשים אמיתיים. הנחה זו מתיישבת עם הפרסומים בזמן אמת: בחודש אפריל האחרון שיגר המכון הישראלי לדמוקרטיה חוות-דעת ברורה בנוגע לסיכונים שבשימוש במערכת של NSO לאיתור מגעים. "אימון המערכת נעשה על בסיס מידע-מיקום פרסומי, כלומר מידע שנלקח מברוקרים הסוחרים במידע, שנאסף באמצעות אפליקציות סלולריות שלהן מאפשרים המשתמשים לאסוף את נתוני המיקום. כמובן ששימוש כזה חורג מעיקרון צמידות המטרה ומהסכמתם החופשית של המשתמשים, שלא ניתנה למטרות מעקב על ידי מערכות ביטחון".
מקבוצת NSO נמסר בתגובה: "לא ראינו את הבדיקה לכאורה שנעשתה ויש לתהות על מסקנותיה, שכן בניגוד גמור לנטען, אנחנו עומדים מאחורי תגובתנו המקורית לפיה הדמו שהוצג לכלל אמצעי התקשורת לא היה מבוסס על מידע אמיתי של חולים בקורונה. המידע שעל בסיסו נבנה הדמו לא כלל כל מידע אישי מזהה של אדם כזה או אחר. הדמו כאמור היה סימולציה שנבנתה ממידע מעורבל. מערכת פלמינג פותחה ככלי אנליטיקה שנועד לסייע למקבלי החלטות להתמודד עם התפשטות מגפת הקורונה. חברת NSO לא אוספת מידע עבור הפעלתה ובנוסף אין לחברה כל גישה למידע שנאסף על ידי משתמשי הקצה המדינתיים".
הפעילות השנויה במחלוקת של NSO בייצוא של אמצעי סייבר התקפי לא יורדת מהכותרות. מוקדם יותר החודש יצא נשיא מיקרוסופט העולמית, בראד סמית', בפוסט פומבי כנגד החברה ודומותיה, וטען כי מדובר ב"שכירי החרב של המאה ה-21". לדבריו, חברות פרטיות דוגמת NSO, המפתחות כלים מתוחכמים למעקב ופריצה ומוכרות אותם לשימוש ממשלות - חלקן, איך לומר בעדינות, לא בדיוק דוגלות בדמוקרטיה, מעמידות בסיכון רחב את כולנו.
מיקרוסופט, יחד עם גוגל, VMware, סיסקו וענקיות נוספות, הצטרפו בחוות דעת מטעם "ידיד בית המשפט" לתביעה שמנהלת וואטסאפ (בבעלות פייסבוק) מול NSO, בטענה כי תוכנת "פגסוס" שלה ניצלה חולשה באפליקציית המסרים הפופולרית בלפחות 1,400 מקרים שונים. "ככל שיותר חברות פרטיות מפתחות כלים כאלה, ויותר ממשלות רוכשות אותם, גוברת הסכנה שהם ייפלו לידיים הלא נכונות ויציבו איום משמעותי על כולנו", כך נכתב בתקציר.
בנוסף, חשף לאחרונה דו"ח של חברת המחקר סיטיזן לאב של אוניברסיטת טורונטו, כי תוכנת "פגסוס" שפיתחה NSO, שימשה למעקב אחר עשרות עיתונאי, מפיקי וצלמי אל ג'זירה. הדו"ח הדגים כי החברה ניצלה חולשה בתשתיות הענן של אפל. הכלי הותקן במכשירים במסגרת מתקפות מסוג Zero-Click, כלומר כאלה שמנצלות חולשה קיימת ולא מצריכות שום פעולה מטעם הקורבן או כל התעסקות פיזית עם המכשיר מצד התוקף.
