חוקרים טוענים: NSO חשפה מידע אישי של עשרות אלפי אנשים בהדגמות של המערכת לאיתור מגעים

חברת הסייבר ההתקפי NSO חשפה מידע אישי של עשרות אלפי אנשים במהלך הדגמות של המערכת שפיתחה לאיתור מגעים, כך טוענים חוקרים מקבוצת המחקר Forensuc Architecture, השייכת לאוניברסיטת לונדון וחוקרת הפרות של זכויות אדם.

המערכת, הידועה בשם "פלמינג", נועדה לסייע לממשלות למפות ולעקוב אחר התפשטות וירוס הקורונה באמצעות הצלבת נתוני מיקום מטלפונים סלולריים. בחודש מאי השנה, חשף חוקר אבטחה פרצה במאגר המידע של NSO שנועד להדגמות של המערכת בפני ממשלות וגופי תקשורת. NSO חסמה את הפרצה ומסרה בתגובה כי "דמו של המערכת הוצג באופן שקוף ובתפוצה כלל עולמית הן ללמעלה מ-100 מדינות והן לעשרות עיתונאים בארץ ובעולם. הדמו הועלה בשקיפות מלאה לשרת ייעודי לטובת ההדגמה למדינות, לחוקרים, עיתונאים ולכל המעוניין. הדמו מבוסס על אילוסטרציה מעורבלת של נתונים אקראיים ואינו מכיל כל מידע מזהה אישי, שממילא לא מצוי בידי החברה".

ואולם, טענתה של NSO, לפיה המידע בו השתמשו לא היה מידע אמיתי, נסתרה, בין היתר, על ידי ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה שקיבלה את הדמו וסיפרה כי מNSO נאמר לה שהמידע הושג מחברות הסוחרות במידע ומציעות גישה לפרטי מיקום הנאספים באמצעות אפליקציות שונות המותקנות על מיליוני מכשירים סלולריים.

על פי ממצאי המחקר שהתפרסמו בשבוע שעבר, החוקרים קובעים כי סביר להניח שהמידע שנחשף התבסס על נתוני מיקום אמיתיים מממכשירים סלולריים. מסקנות החוקרים מבוססות על ניתוח הנתונים ואיתור דפוסים התואמים לתנועת אנשים אמיתיים. החוקרים טוענים כי המידע שנחשף נאסף מכ-32,000 מכשירים סלולריים במשך חודש וחצי והכיל מידע של משתמשים מישראל, איחוד האמירויות, בחריין, סעודיה ורואנדה, כולן מדינות שדווחו כלקוחות של תכנת "פגסוס" של NSO.

חברת NSO דחתה את מסקנות החוקרים ומסרה כי "לא ראינו את הבדיקה האמורה, ויש לתהות לגבי דרך הסקת המסקנות. בכל אופן אנו עומדים מאחורי תגובתנו המקורית מה-6 במאי, 2020. חומרי ההדגמה לא היו מבוססים על מידע אמיתי של אנשים שחלו בקורונה. המידע שבו השתמשנו לצורך ההדגמה לא הכיל כל מידע אישי הניתן לזיהוי. ההדגמה היתה סימולציה שנבנתה על בסיס מידע מעורבל.  מערכת פלמינג פותחה ככלי אנליטי לעיבוד מידע שמתקבל ממשתמשי קצה, שנועד לסייע למקבלי החלטות בזמן מגיפה עולמית. חברת NSO לא אוספת מידע מהמערכת ואין לה גישה למידע שנאסף." החברה נמנעה מלהשיב לשאלות ספציפיות לגבי מקור המידע והדרכים להשגתו. (מקור: Techcrunch, מאת: זאק וית'קר).

כזכור, בימים אלה מתנהלת בארה"ב תביעה שהגישה פייסבוק נגד NSO, לאחר שנתגלה כי תכנת "פגסוס" ניצלה חולשת אבטחה באפליקציית המסרים ווטסאפ להחדרת נוזקות לכ-1400 מכשרים סלולריים של עיתונאים, דיפלומטים ופעילי זכויות אדם. רק לאחרונה הגישו חברות הטכנולוגיה הגדולות הצהרת תמיכה בתביעתה של פייסבוק במעמד של "ידידי בית המשפט".