vier vragen

Bedoeld voor terroristen, gebruikt tegen journalisten: wat je moet weten over Pegasus

Een consortium van media over de hele wereld heeft een groot schandaal met spionagesoftware blootgelegd. Pegasus – geavanceerde, commercieel beschikbare spyware van een bedrijf uit Israël – zou wereldwijd zijn ingezet tegen journalisten, activisten en oppositieleden. Dit moet je erover weten.

Vrouw met iPhone voor het Israëlische hoofdkantoor van Pegasus. Ook iPhones blijken gehackt te kunnen worden met de spionagesoftware van Pegasus. Beeld AFP
Vrouw met iPhone voor het Israëlische hoofdkantoor van Pegasus. Ook iPhones blijken gehackt te kunnen worden met de spionagesoftware van Pegasus.Beeld AFP

Wat is Pegasus en hoe werkt het?

Pegasus is spionagesoftware voor inlichtingen- en veiligheidsdiensten, gebouwd door het Israëlische bedrijf NSO Group. Is een telefoon ermee besmet, dan kan de dienst onder meer meekijken met de camera, telefoontjes afluisteren en iemands gps-locatie volgen.

Aanvankelijk moest de telefoongebruiker op een malafide link klikken voordat het spionageprogramma ongemerkt werd geïnstalleerd. Tegenwoordig is Pegasus zo geavanceerd dat zo’n linkje niet meer nodig is. Zo bleek uit onderzoek van Amnesty International dat iPhones dankzij een beveiligingslek in iMessage werden geïnfecteerd via een onzichtbaar berichtje – een deuk in het imago van Apple, dat prat gaat op de veiligheid van zijn apparaten.

Wat is nu het schandaal?

NSO Group bezweert dat zijn spionagesoftware alleen bedoeld is voor terroristen en zware criminelen, absoluut niet voor journalisten en burgerrechtenactivisten. Toch is dit precies wat er wereldwijd gebeurt, volgens een consortium van zeventien nieuwsmedia, waaronder The Washington Post en Le Monde.

Zij kregen van de journalistieke non-profitorganisatie Forbidden Stories en Amnesty International inzage in een gelekte lijst met meer dan vijftigduizend telefoonnummers. Die waren volgens de onderzoekers (potentieel) doelwit van aanvallen met Pegasus. Er staan nummers van ten minste 189 journalisten, tientallen activisten en honderden politici tussen.

Na analyse van 67 telefoons die bij nummers op de lijst hoorden, werden bij 37 toestellen daadwerkelijk sporen van een besmetting met Pegasus of een poging daartoe aangetroffen.

Het is niet voor het eerst dat NSO Group in opspraak is geraakt. Zo concludeerde the New York Times al in 2017 dat een aantal Mexicaanse mensenrechtenactivisten en journalisten met Pegasus waren bespioneerd.

Welke gevolgen heeft deze onthulling?

Uit het onderzoek blijkt dat regeringen wereldwijd de commercieel beschikbare spionagesoftware inzetten om kritische geluiden te onderdrukken. Sporen van een hack werden onder meer ontdekt op de telefoon van Khadija Ismayilova, een onderzoeksjournalist uit Azerbaijan die jarenlang is tegengewerkt en zelfs gevangengezet.

Het Hongaarse journalistieke platform Direkt36 ontdekte telefoonnummers van meerdere critici van de Hongaarse premier Viktor Orbán in de lijst, op de telefoons van twee journalisten die werden geanalyseerd werden sporen van een Pegasus-hack gevonden. Het lijkt er verder op dat ook de verloofde van de vermoorde Saoedische columnist Jamal Khashoggi is bespioneerd. En kort nadat het nummer van de Mexicaanse journalist Cecilio Pineda Birto op de lijst was gezet, werd hij om het leven gebracht.

Inlichtingendiensten houden ook buitenlandse journalisten met de software in de gaten, volgens het onderzoeksconsortium. Zo zouden Marokkaanse inlichtingendiensten Pegasus hebben ingezet tegen Franse journalisten, onder meer van Le Monde en persbureau AFP.

Marokko ontkent dit. Sowieso ontkennen of zwijgen alle genoemde regeringen. NSO Group, die stelt dat het onderzoek vol gebrekkige aannames en feitelijke fouten zit, zegt te vermoeden dat de lijst met telefoonnummers ten onrechte is geïnterpreteerd als een lijst met doelwitten.

Wat voor bedrijf is NSO Group?

Israël is befaamd om zijn kundige cybersecuritybedrijven, waarvan NSO Group een van de bekendste is. Het werd in 2010 opgericht door drie Israëlische mannen met een achtergrond in de inlichtingenwereld. Israël behandelt het beroemdste product, Pegasus, als wapen: elke keer dat het wordt geëxporteerd is goedkeuring van de staat nodig.

Wie de klanten van NSO zijn, is officieel geheim. In een transparantierapport dat het bedrijf vorige maand publiceerde, rept het over zestig inlichtingen-, politie- en militaire organisaties verdeeld over veertig landen. Volgens het nieuwe onderzoek zouden klanten onder andere in India, Hongarije, Rwanda, Saoedi-Arabië en de Verenigde Arabische Emiraten zitten.

NSO Group beschrijft zichzelf als een bestrijder van het kwaad, die staten helpt zich te wapenen tegen drugskartels, mensenhandelaren en terroristen. Tegelijkertijd geeft het bedrijf aan geen inzicht te hebben in de manier waarop staten Pegasus precies gebruiken. Ook erkent het bedrijf dat het mogelijk is dat staten mensenrechten schenden met het product. Het stelt sinds 2016 met tien klanten te hebben gebroken vanwege misbruik of zorgen om mensenrechtenschendingen.

Of Nederland ook klant is, is te bevestigen noch uit te sluiten. De Nederlandse politie koopt sinds maart 2019 commerciële hacksoftware in, maar wil niet vrijgeven bij wie. De Volkskrant heeft een Wob-verzoek ingediend om hierover openheid af te dwingen, maar de politie is hier twee jaar later nog niet op ingegaan. De zaak is onder de rechter.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden