WhatsApp'ın İsrail merkezli siber güvenlik şirketi NSO Group'a karşı açtığı davada jüri kararını verdi. NSO Group, binlerce kullanıcının telefonunu hacklemek için bir yazılım zafiyetinden yararlandığı gerekçesiyle WhatsApp'a 167 milyon dolar cezai tazminat ödemeye mahkum edildi.
Geçtiğimiz günlerde açıklanan karar, sadece Meta çatısı altındaki WhatsApp için değil, aynı zamanda uzun süredir NSO ve benzeri siber saldırı araçları satan şirketlerin uygulamalarını eleştiren gizlilik ve güvenlik hakları savunucuları için de önemli bir zafer olarak görülüyor. Jüri ayrıca WhatsApp'a 444 milyon dolar da maddi tazminat ödenmesine hükmetti.
Tıklama Gerektirmeyen Saldırı
WhatsApp, NSO'yu 2019'da bin 400 civarında avukat, gazeteci, insan hakları aktivisti, siyasi muhalif, diplomat ve üst düzey yabancı hükümet yetkilisine ait cep telefonlarını hedef alan bir saldırı nedeniyle dava etmişti. Çeşitli ülkelerdeki hükümetler ve kolluk kuvvetleri adına çalıştığı bilinen NSO, kritik bir WhatsApp zafiyetinden yararlanarak kendi casus yazılımı Pegasus'u iOS ve Android cihazlara yüklemeyi başarmıştı. Bu saldırının en dikkat çekici yanı, 'tıklama gerektirmeyen' (clickless) bir yöntemle gerçekleştirilmesiydi. Hedefteki kişinin uygulamasına yapılan bir çağrı, o kişi telefonu cevaplamasa bile zararlı yazılımın bulaşmasına yol açıyordu.
WhatsApp, kararın ardından yaptığı açıklamada, "WhatsApp davasındaki bugünkü karar, herkesin güvenliğini ve gizliliğini tehdit eden yasadışı casus yazılımların geliştirilmesi ve kullanımına karşı kazanılan ilk zafer olması nedeniyle gizlilik ve güvenlik açısından ileriye doğru atılmış önemli bir adımdır" ifadelerine yer verdi. Açıklamada ayrıca, "Bugün, jürinin adı çıkmış yabancı bir casus yazılım satıcısı olan NSO'yu tazminat ödemeye zorlama kararı, bu kötü niyetli sektöre, Amerikan şirketlerine ve hizmet verdiğimiz insanların gizliliğine ve güvenliğine yönelik yasadışı eylemlerine karşı kritik bir caydırıcılıktır" denildi.
Yapılan incelemelere göre NSO, 2018'de WhatsApp hesapları oluşturmuş ve bir yıl sonra bu hesapları kullanarak telefonlardaki kritik zafiyeti istismar eden çağrıları başlatmıştı. Bu çağrılar WhatsApp sunucuları üzerinden geçerek hedeflenen cihazların belleğine kötü niyetli kod enjekte ediyordu. Hedeflenen telefonlar daha sonra NSO tarafından yönetilen kötü niyetli sunucularla bağlantı kurmak için WhatsApp sunucularını kullanıyordu. Hedefler arasında 20 ülkeden 100 sivil toplum kuruluşu üyesi de bulunuyordu.
