Sự vụ này là một hành vi lạm dụng nghiêm trọng các sản phẩm của NSO, vốn chỉ được sử dụng cho các cơ chế của chính phủ và cơ quan pháp luật.

Ảnh: Seth Laupus/Motherboard.

Theo truyền thông, một nhân viên của hãng dịch vụ giám sát đầy tai tiếng NSO đã lạm dụng quyền sử dụng công nghệ hack của công ty này để tấn công người mà anh ta thích.

Tin tức này vốn không được công bố, dù đây là một hành vi vi phạm nghiêm trọng các sản phẩm của NSO, vốn chỉ được dùng bởi các cơ quan hành pháp và đơn vị tình báo chính phủ. Vụ việc này đã cho thấy rằng, các công nghệ giám sát của NSO hoàn toàn có thể bị lạm dụng bởi những cá nhân có quyền truy cập chúng.

Chẳng có cách nào để hoàn toàn tránh trường hợp này cả. Nhân viên kỹ thuật sẽ luôn có quyền truy cập,” một cựu nhân viên NSO biết rõ về vụ việc đã chia sẻ với báo chí. Một cựu nhân viên khác cũng đồng tình với người này. Một nguồn tin khác cũng khẳng định thông tin một nhân viên NSO đã lạm dụng hệ thống của hãng. Các nguồn tin trong bài viết đều được ẩn danh để họ có thể thoải mái chia sẻ về NSO, cũng như bảo vệ họ khỏi các hành động pháp lý đến từ phía công ty.

Cụ thể, NSO đang bán một sản phẩm hack có tên Pegasus cho các khách hàng chính phủ. Với sản phẩm này, người dùng có thể xâm nhập vào các thiết bị iPhone và Android đời mới nhất, thông qua tấn công bằng link độc hay thậm chí là không cần link nào. Để thực hiện điều này, Pegasus tận dụng các lỗ hổng zero day – các lỗ hổng này chính nhà sản xuất cũng chưa biết tới.

Sau khi thành công xâm nhập thiết bị, Pegasus sẽ có thể định vị thiết bị đó, đọc tin nhắn, email, trao đổi trên mạng xã hội, lấy hình ảnh và video từ thiết bị, cũng như điều khiển camera và mic của thiết bị đó. Theo các nhà nghiên cứu, Pegasus đã được cài đặt tại Ả-rập Xê-út, Các tiểu Vương quốc Ả-rập, Mexico và nhiều quốc gia khác. NSO thì khẳng định rằng, công cụ của hãng chỉ được dùng để chống khủng bố cũng như các tội ác nghiêm trọng, song các nhà nghiên cứu, nhà báo, và cả các công ty công nghệ khác lại phát hiện ra NSO đã sử dụng công cụ này để theo dõi các phe đối lập cũng như đối thủ chính trị. Nói về vấn đề này, David Kaye – báo cáo viên đặc biệt của Liên Hợp Quốc về tuyên truyền và đảm bảo quyền tự do ngôn luận đã phát biểu rằng Pegasus đã gây tổn hại mang tính di sản.

Tuy nhiên, vụ việc mới nhất của NSO thì lại hoàn toàn khác: Thay vì một cơ quan hành pháp hay tình báo chính phủ, chính nhân viên của công ty là người lạm dụng công nghệ cho mục đích cá nhân.

Theo một số cựu nhân viên của NSO, vài năm về trước, NSO đã cử một nhân viên tới các Tiểu Vương quốc Ả-rập Thống nhất để “hỗ trợ tại hiện trường”. Lúc này, nhân viên đó đã phá cửa vào văn phòng của khách hàng, vị khách hàng này đã nhận được thông báo rằng có người đăng nhập vào Pegasus của họ ngoài giờ làm việc, và quyết định điều tra sự việc này. Hai nguồn tin khác cũng khẳng định, ban lãnh đạo công ty đã bắt giữ nhân viên này.

Hacker with laptop Free Photo

Khách hàng đã vô cùng tức giận,” nguồn tin thứ nhất cho biết. Nhân viên đó đã sử dụng hệ thống khi không có ai ở đó,” cựu nhân viên thứ hai bổ sung. Được biết, Pegasus rất dễ sử dụng với khách hàng, đôi khi chỉ cần một số điện thoại của mục tiêu là thủ phạm đã có thể xâm nhập vào thiết bị sử dụng số điện thoại đó. Các nguồn tin cũng chia sẻ rằng, mục tiêu của vụ tấn công là một người phụ nữ có quen biết với nhân viên này.

Thủ phạm gây ra vụ việc này sau đó đã bị đuổi việc, ban lãnh đạo NSO đã tổ chức một cuộc họp thông báo với mọi nhân viên về vụ việc nói trên, nhằm đảm bảo sẽ không có lần thứ hai xảy ra trường hợp như vậy. “Họ rất mạnh tay xử lý các trường hợp lạm dụng hệ thống,” một cựu nhân viên NSO nói. Hai nguồn tin trên còn cho biết, vụ việc xảy ra vào hồi năm 2016, khi phần lớn cổ phiếu của NSO còn thuộc về công ty đầu tư Francisco Partners. Năm 2019, các nhà sáng lập NSO đã mua lại công ty này.

Họ cũng không nêu tên cụ thể vị khách hàng Ả-rập đã sử dụng phần mềm của NSO. Đây có thể là một trong ba cơ quan tình báo của quốc gia này, bao gồm: Cục An ninh Quốc gia, Đơn vị Tình báo Tín hiệu Quốc gia, hoặc Dịch vụ An ninh Tình báo Quân đội Quốc gia. Đại sứ quán của Các Tiểu Vương quốc Ả-rập thống nhất tại Washington đã không phản hồi trước những phát biểu nói trên. Còn NSO thì từ chối bình luận về vụ việc.

Dù NSO vẫn luôn là một cái tên lớn trong ngành an ninh, công ty này chỉ thực sự được công chúng biết đến sau khi bán công nghệ hack cho Ả-rập Xê-út, mà tại đó, công nghệ này được sử dụng để xâm nhập vào điện thoại của các bên đối lập, trong đó bao gồm nhà báo Jamal Khashoggi của Washington Post. CIA tin rằng, Khashoggi đã bị giết hại bởi tình báo quốc gia này ở Istanbul, Thổ Nhĩ Kỳ vào năm 2018, dưới lệnh của Hoàng Thái tử.

Eva Galperin – Giám đốc an ninh mạng tại EFF, người đã nghiên cứu về cả các chiến dịch hack của chính phủ lẫn cách các nạn nhân bị theo dõi bởi phần mềm độc đã chia sẻ với báo giới rằng: “Vụ việc của NSO cho thấy rõ các nỗ lực ngăn chặn hành vi lạm dụng trái phép các sản phẩm giám sát của công ty là tốt. Tuy nhiên, định nghĩa ‘trái phép’ của NSO lại chỉ là ‘khi không trả tiền’. Tôi mong muốn rằng công ty này cũng để tâm khi các sản phẩm của họ đang được sử dụng để vi phạm nhân quyền.”

Ta không thể không thắc mắc rằng những ai đã bị tấn công bởi NSO thông qua các thiết bị từ khách hàng của họ?” John Scott-Railton – Một nhà nghiên cứu cấp cao tại Phòng Nghiên cứu Công dân Toronto bày tỏ. “Điều này cho thấy NSO cũng giống với nhiều công ty khác ở chỗ đều gặp phải các nhân viên thiếu đạo đức nghề nghiệp. Nhưng thật đáng sợ khi nghĩ về việc những người này có thể tiếp cận các công cụ hack giống như tại Cục An ninh Quốc gia.”

NSO thường khẳng định rằng công ty không bao giờ hack các điện thoại cá nhân, mà chỉ phát triển các công cụ dành cho khách hàng của họ. Tuy nhiên, vụ việc này “phản lại các khẳng định của NSO rằng công ty không thể thực hiện việc hack. Nó cho thấy rằng, nhân viên của công ty cũng có thể hack một cách trái phép và không hề bị giám sát,” Railton bổ sung.

Kaye – Báo cáo viên của Liên Hợp Quốc, người đã kêu gọi ngừng xuất khẩu các công nghệ hack ra nước ngoài cho tới khi có đủ luật pháp quốc tế về vấn đề này, ông cũng cho rằng vụ việc đã dấy lên rất nhiều câu hỏi về NSO. “Cụ thể, làm sao nhân viên đó có thể thực hiện hành vi dễ dàng như vậy?” anh thắc mắc, đồng thời cũng đặt nghi vấn rằng liệu có hay không các hành vi lạm dụng tương tự khác?

Sau vụ việc này, NSO đã áp dụng một “cơ chế kiểm tra gắt gao hơn đối với các nhân viên tiếp xúc với khách hàng”, một cựu nhân viên chia sẻ. Trong đó bao gồm các kiểm tra sinh trắc học để đảm bảo không còn các hành vi sử dụng hệ thống một cách trái phép.

Hacker holding mask Free Photo

NSO hiện đang có tranh chấp pháp lý với Facebook. Cụ thể, “gã khổng lồ công nghệ” đang kiện NSO về hành vi lạm dụng một lỗ hổng trên WhatsApp, giúp các khách hàng có thể hack vào điện thoại từ xa thông qua việc gọi tới số các điện thoại đó. Ngoài ra, công ty cũng đã phát triển ra một công nghệ có thể theo dõi mức độ lây nhiễm của virus Corona, song thiết kế của công nghệ này lại mang lại rất nhiều nỗi lo về bảo mật.

Các nhân viên tại chính phủ có quyền sử dụng những công nghệ giám sát cũng đã từng lạm dụng điều này. Cụ thể, vào năm 2013, tờ Wall Street Journal đã chia sẻ rằng, các nhân viên của Cục An ninh Quốc gia đã sử dụng các công nghệ gián điệp của Cơ quan này để theo dõi các đối tượng hẹn hò của họ.

Kể cả các Tiểu Vương quốc Ả-rập Thống nhất cũng phải đối mặt với những hệ quả riêng khi sử dụng những công nghệ hack mạnh. Cụ thể, sau khi điều tra về Dự án Raven – một dự án mà trong đó các hacker của Cục An ninh Quốc gia Hoa Kỳ sẽ chuyển tới Ả-rập và thành lập một đội ngũ hacker tinh nhuệ tại đây, để rồi chuyển mục tiêu sang các công dân Mỹ. Tờ báo cũng nói rằng, FBI đã đang điều tra việc sử dụng phần mềm độc của NSO để tấn công các công dân và doanh nghiệp Mỹ, muộn nhất là từ năm 2017.

Các công ty công nghệ luôn phải đối mặt với việc nhân viên lạm quyền và truy cập trái phép các dữ liệu và công cụ của công ty. Trước đó, Facebook cũng đã sa thải một số nhân lực sau khi phát hiện họ sử dụng dữ liệu người dùng để theo dõi người khác, nhân viên của MySpace cũng đã sử dụng một công cụ tên là Overlord cho mục đích cá nhân. Thậm chí, Snapchat cũng từng xảy ra một số vụ lạm dụng công nghệ tương tự.

Theo VICE

Tin liên quan: