חברת whatsapp, שבבעלות מטא, חשפה כי כמעט 100 עיתונאים ופעילים חברתיים שהשתמשו באפליקציה הפופולרית היוו יעד לרוגלה שפותחה על ידי חברת Paragon Solutions הישראלית, כך פורסם ב'גרדיאן'. על פי הצהרת החברה, היא בטוחה ברמה גבוהה כי המשתמשים הותקפו וייתכן שמכשיריהם נפרצו.
טרם ידוע מי עמד מאחורי המתקפה, אך כמו חברות ריגול מסחריות אחרות, מוצרי הסייבר של Paragon נמכרים לממשלות ברחבי העולם. ווטסאפ לא הצליחה לזהות מי מהלקוחות של Paragon הורה על ההתקפות.
לפי מומחים שצוטטו ב'גרדיאן', המתקפה בוצעה באמצעות מנגנון "Zero-Click", כלומר הקורבנות לא נדרשו ללחוץ על קישור זדוני כדי להידבק. החברה הודיעה כי המתקפה זוהתה ונבלמה בדצמבר, אך לא ברור כמה זמן המשתמשים היו תחת סכנה.
Paragon Solutions, הממוקמת בישראל ולפי דיווחים מחזיקה משרד נוסף בווירג'יניה, ארה"ב, סירבה להגיב על הפרשה. עם זאת, מקורב לחברה מסר ל'גרדיאן' כי יש לה 35 לקוחות ממשלתיים, כולם ממדינות דמוקרטיות, וכי היא אינה עושה עסקים עם מדינות שנחשדות בשימוש לרעה ברוגלות מסוג זה, בהן יוון, פולין, הונגריה, מקסיקו והודו.
ווטסאפ שלחה לחברה מכתב "הפסקת פעילות" והיא בוחנת את האפשרויות המשפטיות העומדות בפניה. החברה מסרה כי היא פונה ישירות לאנשים שלדבריה הושפעו מהמתקפה, והדגישה את הצורך בהגבלת השימוש ברוגלות מסחריות.
אחד מבעלי המניות הבולטים של Paragon Solutions, הוא ראש הממשלה לשעבר אהוד ברק. כזכור, החברה, נמצאת בימים אלה במוקד תשומת הלב בעקבות פרסומים על מכירתה לקרן ההשקעות האמריקאית AE Industrial Partners תמורת 900 מיליון דולר.
המומחית למשפט וטכנולוגיה נטלי קרפיבה מארגון Access Now ציינה כי "ל-Paragon היה מוניטין של חברה 'נקייה' שלא הייתה מעורבת בפרשיות שימוש לרעה, אך החשיפה של ווטסאפ מערערת הנחה זו ומצביעה על כך שהבעיה אינה ב'תפוחים רקובים' – אלא במבנה התעשייה עצמה".
על פי ה'גרדיאן', Citizen Lab, מכון מחקר קנדי המנטר איומים דיגיטליים נגד החברה האזרחית, סייע לווטסאפ בזיהוי מנגנון ההדבקה. על פי החשד, ההדבקה התבצעה באמצעות קובץ PDF זדוני שנשלח לקורבנות שהוספו לקבוצות ווטסאפ. Citizen Lab צפוי לפרסם דו"ח מפורט בנושא בעתיד.
כזכור, החשיפה של ווטסאפ מגיעה לאחר פסיקה תקדימית בקליפורניה נגד חברת NSO Group, חברה ישראלית אחרת שעסקה בפיתוח רוגלות. בפסק הדין שניתן בדצמבר 2024, נקבע כי NSO אחראית להפרות חוקי הסייבר האמריקאיים והפרת תנאי השימוש של ווטסאפ, זאת בעקבות תביעה שהוגשה נגדה ב-2019 לאחר שנמצא כי 1,400 משתמשים נפגעו מרוגלות שפיתחה. NSO ממשיכה לנסות להסיר את שמה מרשימת היישויות המסוכנות של מחלקת הסחר האמריקאית, אליה הוספה ב-2021.