Według Ars Technicaamerykański sędzia federalny na stałe wykluczył twórcę oprogramowania szpiegującego Grupa NSO z kierowania reklam do użytkowników WhatsApp za pomocą oprogramowania Pegasus. The rządzący jest następstwem pozwu Meta z 2019 r., w którym zarzucono, że NSO próbowało zainfekować około 1400 urządzeń mobilnych. Decyzja sędziego Phyllis J. Hamilton z Sądu Okręgowego Stanów Zjednoczonych dla Północnego Okręgu Kalifornii wynika z pozwu złożonego przez właścicielkę WhatsApp Meta w 2019 r. W pozwie zarzucono, że NSO przyłapano na próbie potajemnego zainfekowania telefonów komórkowych około 1400 osób. Na liście celów znaleźli się prawnicy, dziennikarze, działacze na rzecz praw człowieka, dysydenci polityczni, dyplomaci i wyżsi urzędnicy rządów zagranicznych. W skardze Meta utrzymywano również, że NSO utworzyła fałszywe konta WhatsApp i w ramach swojej kampanii mającej na celu wdrożenie oprogramowanie szpiegowskie. Stały nakaz nakazuje NSO trwałe zaprzestanie atakowania użytkowników WhatsApp, prób infekowania ich urządzeń lub przechwytywania ich w pełni zaszyfrowanych wiadomości, które wykorzystują protokół sygnałowy typu open source. Orzeczenie sędziego Hamiltona nakłada również na NSO obowiązek usunięcia wszelkich danych uzyskanych w wyniku działań skierowanych do użytkowników platformy. NSO argumentowała, że nakaz „zmusi NSO do wycofania się z działalności”, ponieważ Pegasus jest jej „sztandarowym produktem”. Sędzia odrzucił to, orzekając, że szkoda, jaką Pegasus wyrządził Meta, przewyższała względy komercyjne. W swoim orzeczeniu sędzia Hamilton szczegółowo omówiła charakter szkody wyrządzonej Meta. Stwierdziła, że szkoda wykraczała poza naruszenie reputacji i stanowiła bezpośrednią kwestię biznesową. „W opinii sądu każda firma, która ma do czynienia z danymi osobowymi użytkowników i inwestuje zasoby w sposoby szyfrowania tych danych osobowych, ponosi szkodę w wyniku nieuprawnionego dostępu do tych danych osobowych – i jest to coś więcej niż tylko szkoda dla reputacji, to szkoda dla biznesu” – napisał sędzia. Sąd ograniczył również zakres nakazu, odrzucając wniosek Meta o zakazanie zagranicznym rządom korzystania z WhatsApp, ponieważ nie były one stronami pozwu. Odrzucono również wniosek o zakazanie NSO atakowania użytkowników Facebooka i Instagrama. Szef WhatsApp, Will Cathcart, pochwalił tę decyzję w oświadczeniu. „Dzisiejsze orzeczenie zabrania producentowi oprogramowania szpiegującego NSO ponownego atakowania WhatsApp i naszych użytkowników na całym świecie” – powiedział. „Pochwalamy tę decyzję podjętą po sześciu latach postępowania sądowego, mającą na celu pociągnięcie NSO do odpowiedzialności za atakowanie członków społeczeństwa obywatelskiego”. Cathcart dodał, że orzeczenie „ustanawia ważny precedens, że atak na amerykańską firmę wiąże się z poważnymi konsekwencjami”. Jednocześnie sędzia Hamilton obniżył kwotę odszkodowania karnego przyznanego Meta przez ławę przysięgłych ze 167 mln dolarów do 4 mln dolarów, powołując się na to, że ława przysięgłych nie zastosowała odpowiedniego ustawowego górnego limitu. Pegasus to wysoce zaawansowane oprogramowanie szpiegujące, które może infekować zarówno iPhone’y, jak i urządzenia z systemem Android, często wykorzystując exploity „zero kliknięć”, które nie wymagają interakcji ze strony użytkownika. Pokonuje środki bezpieczeństwa Apple i Google poprzez inżynierię wsteczną ich systemów operacyjnych. Chociaż NSO oświadczyło, że udziela licencji na Pegasusa wyłącznie sprawdzonym rządom, które nie nadużywają tej technologii, sprawa WhatsApp pokazała, że celem byli dysydenci i dziennikarze. Orzeczenie jest istotne, ponieważ stanowi precedens prawny, który inne strony amerykańskie będą mogły powoływać w przyszłych sprawach przeciwko NSO.
