חברת NSO הגישה ערעור על ההחלטה כי תפצה את חברת META, המחזיקה בבעלות על אפליקציית וואטסאפ (וגם פייסבוק ואינסטגרם) בסכום של למעלה מ-168 מיליון דולר. החברה מבקשת להפחית באופן דרסטי את הפיצויים העונשיים (על סך 167.2 מיליון דולר) או לאשר משפט חדש. לדברי החברה, סכום העונשין חורג מתקדימים משפטיים קודמים ו"ההסבר הסביר ביותר לסכום הספציפי ומעורר התהיות של הפיצויים העונשיים הוא שחבר המושבעים בחר בסכום זה במטרה "להוביל את NSO לפשיטת רגל" נכתב בבקשה, וכי "פסיקת חבר המושבעים כמעט מוחקתכליל את הנכסים הנוכחיים של NSO".
המאבק המשפטי – רקע
המאבק המשפטי הממושך בין וואטסאפ, השייכת לחברת META לבין NSO Group הישראלית הגיע לשיאו במאי השנה עם פסיקה תקדימית של חבר מושבעים בקליפורניה: NSO חויבה לשלם כ-168 מיליון דולר כפיצויים בגין שימוש בתוכנת הריגול "פגסוס" לפריצה לטלפונים סלולריים באמצעות שימוש באפליקציית וואטסאפ. פסק דין עשוי לשנות באופן משמעותי את שוק הסייבר ההתקפי, כאשר לראשונה ספקית סייבר התקפי נאלצת לשאת במחיר כספי כבד. זוהי ללא ספק פסיקה ששולחת כבר עתה גלי הדף ברחבי תעשיית הסייבר הגלובלית בכלל והישראלית בפרט.
החשיפה: מתקפת Zero-Click
הפרשה החלה להתגלגל בקיץ 2019, כאשר בוואטסאפ זיהו פעילות חריגה שחשפה מתקפת ריגול מתוחכמת. המתקפה התבצעה באופן הבא: המערכת שפיתחה NOS התקשרה לקורבן בשיחה קולית בוואטסאפ – בין שהשיחה נענתה ובין שלא – צעד זה החדיר את תוכנת הריגול פגסוס למכשיריהם של למעלה מ-1,400 משתמשים, ביניהם עיתונאים, פעילי זכויות אדם ודיפלומטים ברחבי העולם. המתקפה ניצלה חולשה מתוחכמת בוואטסאפ שאפשרה בדרך זו לפרוץ למכשיר הטלפון של הקורבן מבלי שנדרשה כל פעולה מצידו – כלומר, לא היה כל צורך לפתות את הקורבן לפתוח קישור, קובץ או לבצע פעולה כלשהי. מתקפה מסוג זה נקראת "Zero-Click" – חדירה ליעד ללא אף לחיצה.
עפ"י רוב החל מרגע זה תוכנת הריגול הסלולרית אפשרה לתוקפים גישה מלאה למידע הרגיש ביותר במכשיר – כולל הפעלת של מצלמת המכשיר והמיקרופון מרחוק, קריאת הודעות מוצפנות (לא רק של וואטסאפ), גישה לאנשי קשר, יומנים ומעקב אחר מיקום. חברת Meta (אז "פייסבוק") פעלה לסגירת הפרצה, עדכנה את הקורבנות, ושיתפה פעולה עם גופי מחקר כמו .Citizen Lab כדי לחשוף את NSO ודרכי הפעולה שלה, מאפייני תוכנת הריגול שלה ומזהים פורנזיים שיאפשרו לחשוף אותה ולהתגונן מפניה. במקביל, הגישה Meta תביעה, תקדימית בהיבטים רבים, נגד חברת NSO.
ההכרעה המשפטית והשלכותיה הישירות
ב-6 במאי 2025 , קבע בית המשפט כי NSO הפרה את חוק המחשבים הפדרלי האמריקאי (CFAA) וכן את תנאי השימוש של וואטסאפ. בית המשפט קיבל גם טיעון מהותי של META לפיו, NSO לא רק פיתחה עבור לקוחותיה (מדינות, ארגוני ביון וגופי אכיפה) את כלי התקיפה, אלא השתתפה באופן פעיל בהפעלתו.
על פי פרשנים משפטיים, מעבר לפיצויים הכספיים, פסק הדין עשוי לשמש בסיס להוצאת צו מניעה קבוע שיאסור על NSO לנסות ולחדור שוב למערכות וואטסאפ או מערכות אחרות של חברות META. META הודיעה כי כספי הפיצויים יועברו לארגונים המקדמים זכויות דיגיטליות של המשתמשים וכן יושקעו בהרחבת תוכנית ה-Bug Bounty של החברה, המעודדת חשיפה אתית וחוקית של פרצות אבטחה במערכותיה.
NSO מצידה הודיעה כי תלמד את פסק הדין ותשקול את צעדיה (כאמור, כעת הגישה לבית המשפט בקשה להפחתת הסכום או למשפט חדש), תוך הדגשה שהטכנולוגיה שלה נועדה למנוע פשעים חמורים וטרור.
כיצד להגן על הפרטיות שלנו בעידן של איומים מתקדמים?
ראשית, חשוב להבדיל בין יכולות סייבר התקפי ברמה מדינתית או כמו-מדינתית (דוגמת פגסוס של NSO), מפניהן צריכים להתגונן גורמים אשר סביר להניח
שלא מסתמכים על מאמר זה, לבין מרבית משתמשי הטלפונים הסלולריים שמעוניינים להתגונן מפני ריגול עסקי או אישי. תוכנות הריגול המשמשות בעולם העסקי והפרטי בד"כ יוטמנו על בסיס פיתוי הקורבן ללחוץ על קישור או קובץ, מסירת מידע אישי ורגיש כמו סיסמאות וכיו"ב.
עדכוני תוכנה ואבטחה שוטפים – אם הטלפון הנייד שלכם כבר לא מקבל עדכונים מהיצרן, כדאי לשקול להחליפו.
מודעות לסיכוני סייבר ולתרגילי ההטעיה הנפוצים של האקרים וגורמי פשיעת סייבר.
הגדרת אימות דו-שלבי בחשבונותיכם והגדרות אבטחה חשובות נוספות ניתן למצוא בלחיצה על קישור למאמר "הגנה עצמית בסייבר".
