सुरक्षा शोधकर्ताओं ने पुष्टि की है कि एक यूरोपीय राजनेता का फोन पेगासस स्पाइवेयर से हैक किया गया, जब वह उसी कुख्यात निगरानी उपकरण के दुरुपयोग की जाँच कर रही एक समिति में कार्यरत थे। इसने सरकारों द्वारा अपने आलोचकों के बारे में जानकारी जुटाने के लिए स्पाइवेयर के दुरुपयोग पर नया विवाद छेड़ दिया है।
टोरंटो विश्वविद्यालय की डिजिटल अधिकार इकाई द सिटिजन लैब के शोधकर्ताओं का कहना है कि 2022 और 2023 के दौरान ग्रीक पत्रकार और पूर्व राजनेता स्टेलियोस कौलोग्लू के फोन हैक होने की पुष्टि पहली बार है जब यूरोपीय संसद की PEGA समिति के एक सदस्य, जो यूरोपीय सरकारों द्वारा फोन स्पाइवेयर हमलों की जाँच कर रही थी, को स्पाइवेयर का शिकार बताया गया है।
कौलोग्लू ने टेकक्रंच को फोन पर बताया कि उनके फोन से जानबूझकर समझौता करना "लापरवाही" था। एक सेवारत यूरोपीय सांसद ने कौलोग्लू के फोन हैकिंग को "कानून के शासन पर सीधा हमला" बताया और यूरोपीय आयोग से 27 सदस्य देशों के ब्लॉक में स्पाइवेयर के उपयोग पर सख्त सीमाएँ लगाकर ठोस कार्रवाई करने का आह्वान किया।
जबकि सांसदों पर स्पाइवेयर हमले दुर्लभ हैं, एक समिति जाँचकर्ता को उसी स्पाइवेयर के माध्यम से निशाना बनाना, जिसकी वह जाँच कर रहे थे, समिति के आंतरिक कामकाज पर गहरी नज़र का संकेत देता है, खासकर एक व्यापक रूप से प्रतीक्षित रिपोर्ट से पहले। ये हैक इस बारे में नए सवाल खोलते हैं कि सरकारें स्पाइवेयर का उपयोग कैसे करती हैं, जो कथित तौर पर गंभीर अपराधों की पहचान के लिए आवश्यक है, लेकिन फिर पत्रकारों, सांसदों और आलोचकों के संचार की जासूसी करते हुए पकड़ी जाती हैं।
सिटिजन लैब के शोधकर्ताओं ने फोन हैकिंग का श्रेय किसी विशिष्ट देश को नहीं दिया, लेकिन कहा कि सरकारी ग्राहक ने उसी पेगासस-लोडेड ईमेल पते का उपयोग किया जो पिछले अभियान में यूरोप भर के पत्रकारों के फोन हैक करने के लिए इस्तेमाल किया गया था। ग्राहक की पहचान ज्ञात नहीं है, लेकिन उसी हमलावर ईमेल पते का पुन: उपयोग इंगित करता है कि ग्राहक के पास NSO Group का प्राधिकरण था कि वह यूरोप के कई देशों में फोन की जासूसी करने के लिए अपने पेगासस स्पाइवेयर का उपयोग करे।
यूरोपीय आयोग के एक प्रवक्ता ने टेकक्रंच के टिप्पणी अनुरोध का जवाब नहीं दिया। NSO Group ने भी प्रकाशन से पहले सिटिजन लैब रिपोर्ट पर टिप्पणी के अनुरोध का जवाब नहीं दिया।
शुक्रवार को जारी अपनी रिपोर्ट में, सिटिजन लैब ने कहा कि कौलोग्लू को अक्टूबर 2022 में और मार्च 2023 में कम से कम दो बार हैक किया गया, जिसमें Apple के iPhone सॉफ्टवेयर में एक सुरक्षा कमजोरी का फायदा उठाने वाले एक्सप्लॉइट का उपयोग किया गया। यह कमजोरी पैच की जा चुकी थी, लेकिन फिक्स अभी तक कौलोग्लू के फोन पर इंस्टॉल नहीं हुआ था। एक्सप्लॉइट एक "ज़ीरो-क्लिक" बग था, जिसका अर्थ है कि स्पाइवेयर बिना उनकी किसी बातचीत के घुस गया और उनका डेटा चुरा लिया।
बग ने iPhones में उपयोग किए जाने वाले Apple के स्मार्ट होम सॉफ्टवेयर में पहले से खोजी गई खामी का दुरुपयोग किया। इसने स्पाइवेयर को कौलोग्लू के फोन से उनकी जानकारी के बिना निजी डेटा हथियाने की अनुमति दी, जैसे उनके टेक्स्ट संदेश और अन्य पत्राचार, स्थान डेटा और तस्वीरें।
अक्टूबर 2022 हैक का समय अक्टूबर और नवंबर 2022 के दौरान ईमेल और टेक्स्ट संदेशों पर गहन चर्चा के साथ मेल खाता है, जो साइप्रस, ग्रीस, हंगरी, पोलैंड और स्पेन पर ध्यान केंद्रित करते हुए स्पाइवेयर दुरुपयोग का वर्णन करने वाले पहले मसौदे की डिलीवरी से पहले था।
हैक उस समय भी हुआ जब कौलोग्लू एक पूर्व निर्धारित सर्जरी के लिए अस्पताल में थे, जिससे स्पाइवेयर ऑपरेटरों को उनके स्वास्थ्य देखभाल या उस समय आगंतुकों के साथ उनकी बातचीत पर चर्चा करने वाले परिवेशी ऑडियो को सुनने की अनुमति मिल सकती थी।
महीनों बाद 6 और 7 मार्च को, सिटिजन लैब ने कहा कि कौलोग्लू का फोन उसी पेगासस ऑपरेटर द्वारा फिर से हैक किया गया, जब कौलोग्लू एथेंस से ब्रुसेल्स की यात्रा कर रहे थे, समिति की सुनवाई की अवधि के दौरान और समिति द्वारा अपनी लिखित मसौदा रिपोर्ट को अंतिम रूप देने और अपनाने से महीनों पहले।
एक कॉल में, कौलोग्लू ने टेकक्रंच को बताया कि वह नहीं जानते कि उन्हें विशेष रूप से क्यों निशाना बनाया गया, लेकिन उनका मानना है कि यह यूरोपीय संसद की पेगासस दुरुपयोग की जाँच करने वाली समिति पर उनके काम के कारण था।
उन्होंने जब यह जाना कि उनके फोन से समझौता किया गया है तो गुस्सा व्यक्त किया।