Facebook verklagt israelische WhatsApp-Hacker
Facebook wirft der NSO Group vor, 1.400 WhatsApp-Nutzer gehackt zu haben. Darunter waren Journalisten, Anwälte, Menschenrechtler und andere Regierungskritiker.
Der Facebook-Konzern nimmt den Spyware-Angriff nicht einfach so hin.
(Bild: dpa, Patrick Pleul)
WhatsApp beschuldigt die israelische Spyware-Firma NSO Group, im April und Mai 1.400 WhatsApp-Nutzer gehackt zu haben. Unter den Opfern waren Menschenrechtsaktivisten, Journalisten, Anwälte, Diplomaten und andere wichtige Regierungsvertreter, sowie jeweils Familienangehörige. Die Angriffe seien mit der "Pegasus"-Malware der NSO Group durchgeführt worden, über Server, von denen wenigstens einer der NSO Group zuzuordnen sei.
Das geht aus einer Klage hervor, die WhatsApp und dessen Mutterfirma Facebook am Dienstag bei einem US-Bundesbezirksgericht in San Francisco gegen die NSO Group und deren Mutter Q Cyber eingebracht haben. Hintergrund ist ein im Mai bekannt gewordener Hack WhatsApps. Die Software litt an einer Sicherheitslücke (CVE-2019-3568), die Unbefugten Fernzugriff auf das jeweilige Gerät erlaubte. Angreifern war es gelungen, durch einen WhatsApp-Anruf Spyware in das angerufene Gerät einschleusen, selbst wenn der Angerufene gar nicht abhob.
Aufmerksamer Advokat
Von dem Hack betroffen war unter anderem ein Anwalt, der mehrere Klagen gegen die NSO Group betreibt. Der Advokat wandte sich an das Citizen Lab der Universität Toronto. Das Citizen Lab schlug Alarm und hat in der Folge WhatsApp bei der Aufklärung sowie bei Schutzmaßnahmen für Betroffene unterstützt.
Die Klage stützt sich auf das US-Bundesgesetz Computer Fraud and Abuse Act, ein ähnliches Gesetz Kaliforniens, Besitzstörung und Vertragsbruch. Die NSO Group soll selbst WhatsApp-Konten eingerichtet haben, um andere User angreifen zu können. Beim Einrichten eines WhatsApp-Kontos geht man einen Vertrag mit WhatsApp ein, der solche Machenschaften untersagt.
Die Kläger verlangen Schadenersatz und ein gerichtliches Verbot für die NSO Group, WhatsApp und Facebook zu nutzen. Die Höhe des Schadenersatzes sollen Geschworene festlegen, die es in den Vereinigten Staaten auch bei Zivilprozessen geben kann.
Dringende Lehren
Die NSO Group stellt die Vorwürfe in Abrede. NSO-Technik werde an Geheimdienste und Strafermittler lizenziert, "um ihnen zu helfen, Terrorismus und schwere Straftaten zu bekämpfen". Die NSO Group nennt konkret "Pädophilenringe und Drogenbarone". Etwaiger Einsatz gegen Menschenrechtler und Journalisten stelle eine Vertragsverletzung dar.
WhatsApp-Chef Will Cathcart ruft die Technik-Branche und Gesetzgeber dazu auf, aus dem Angriff drei dringende Lehren zu ziehen: "Er unterstreicht, dass Technikfirmen nie gezwungen werden sollten, ihre Sicherheitssysteme absichtlich zu schwächen", schreibt er in einem Kommentar in der Washington Post, "Hintertüren und andere Sicherheitslücken stellen einfach eine zu große Gefahr dar."
Zweitens müssten App-Entwickler, Gerätehersteller und die Sicherheitsverantwortlichen der Betriebssysteme enger zusammenarbeiten. Und drittens sollten Unternehmen keine Hack-Angriffe gegen andere Unternehmen fahren. "Verantwortungsbewusste melden Sicherheitslücken, wenn sie gefunden werden; sie nutzen ihre Technik nicht, um diese Lücken auszunutzen. Ebenso sollten Unternehmen jenen keine Dienste verkaufen, die solche Attacken durchführen." Das ist eine deutliche Absage WhatsApps an das Geschäftsmodell der NSO Group.
Das Verfahren heißt WhatsApp v. NSO Group Technologies und ist am US-Bundesbezirksgericht für das nördliche Kalifornien anhängig (Az. 19-cv-07123).
- Die Klageschrift WhatsApp v. NSO Group im Volltext
Update 01.11.2019, 11:15: Informationen der Nachrichtenagentur Reuters zufolge sollen zusätzlich zu den bereits genannten Personengruppen auch Regierungsmitarbeiter und Militärs aus mindestens 20 Ländern mit Pegasus gehackt worden sein. Weitere Details sind (noch) nicht bekannt. (ds)
