Güvenlik araştırmacıları, Avrupalı bir politikacının, kötü şöhretli Pegasus casus yazılımının kötüye kullanımını araştıran bir komitede görev yaparken telefonunun hacklendiğini doğruladı. Toronto Üniversitesi’nin dijital haklar birimi Citizen Lab’a göre, Yunan gazeteci ve eski politikacı Stelios Kouloglou’nun 2022 ve 2023 yıllarında telefonunun hacklenmesi, Avrupa Parlamentosu’nun PEGA komitesinin bir üyesinin kamuya açık bir şekilde casus yazılım mağduru olarak tanımlanması anlamına geliyor. Bu durum, hükümetlerin casus yazılımları eleştirmenlerini izlemek için kullanmasıyla ilgili tartışmaları yeniden alevlendirdi.
Citizen Lab, saldırının belirli bir ülkeye atfedilemediğini, ancak kullanılan Pegasus yüklü e-posta adresinin daha önce Avrupa genelinde gazetecilerin telefonlarını hacklemek için kullanılan kampanyayla aynı olduğunu belirtti. Müşterinin kimliği bilinmiyor, ancak aynı saldırı e-posta adresinin tekrar kullanılması, müşterinin NSO Group’tan Pegasus casus yazılımını kullanma yetkisi aldığını gösteriyor. Kouloglou, TechCrunch’a yaptığı açıklamada, telefonunun kasıtlı olarak ele geçirilmesini “pervasızca” olarak nitelendirdi. Bir Avrupalı milletvekili ise bu hacklemeyi “hukukun üstünlüğüne doğrudan bir saldırı” olarak tanımladı ve Avrupa Komisyonu’nu somut adımlar atmaya çağırdı.
Rapora göre Kouloglou’nun telefonu Ekim 2022’de ve Mart 2023’te en az iki kez, Apple’ın iPhone yazılımındaki bir güvenlik açığından yararlanılarak hacklendi. Bu açık, Apple tarafından düzeltilmişti ancak Kouloglou’nun telefonuna henüz yama yüklenmemişti. Saldırı, “sıfır tıklama” olarak bilinen bir yöntemle gerçekleşti; yani casus yazılım, Kouloglou’nun herhangi bir işlem yapmasına gerek kalmadan telefonuna sızdı ve mesajlar, konum verileri ve fotoğraflar gibi özel bilgilerini çaldı. Saldırının zamanlaması, Ekim 2022’de Kıbrıs, Yunanistan, Macaristan, Polonya ve İspanya’ya odaklanan casus yazılım istismarlarını anlatan ilk taslağın teslim edilmesinden önceki yoğun e-posta ve mesajlaşma dönemine denk geliyor.
Sistem Güvenliği
Kouloglou, neden hedef alındığını bilmediğini ancak bunun Avrupa Parlamentosu’nun Pegasus istismarlarını araştıran komitesindeki çalışmalarından kaynaklandığına inandığını söyledi. Telefonunun hacklendiğini öğrendiğinde öfkelendiğini belirten Kouloglou, “Tüm kişisel verilerinizin alındığını fark ediyorsunuz – sadece profesyonel yazışmalar veya bakanlarla mesajlar değil, aynı zamanda mutlu anlar ve üzücü anlar gibi çok özel şeyler de” dedi. Kouloglou, İsrail merkezli casus yazılım üreticisi NSO Group’a dava açmayı planladığını açıkladı. NSO, Biden döneminde insan haklarını ihlal edebilecek casus yazılımların hükümet tarafından kullanımını yasaklayan bir başkanlık kararnamesinin ardından ABD’de büyük ölçüde yasaklanmış durumda. Kouloglou, hikayesini “demokrasi, insan hakları ve yolsuzlukla mücadele için” kamuoyuyla paylaştığını söyledi.