Pivovarov, un activist pentru drepturile omului și politician de opoziție, se afla în custodia autorităților ruse când telefonul său a fost spart. Cercetătorii au găsit dovezi clare că o unitate de investigație a guvernului rus a folosit un instrument de hacking numit UFED, fabricat de Cellebrite, pentru a accesa datele de pe iPhone-ul său. Acest incident ridică întrebări serioase despre capacitatea companiilor de tehnologie de a controla modul în care sunt utilizate instrumentele lor după ce au fost vândute.
Cellebrite, cu sediul în Israel și un al doilea sediu în Virginia, SUA, vinde guvernelor din întreaga lume, inclusiv Statelor Unite. Pe site-ul său oficial, compania susține că, începând cu martie 2021, când a întrerupt legăturile cu guvernul lui Putin, poate „opri funcționarea dispozitivului sau poate bloca primirea de actualizări software”. Cu toate acestea, în cazul lui Pivovarov, acest lucru nu s-a întâmplat. De ce? Răspunsul este neclar, dar episodul dezvăluie un adevăr incomod: odată ce tehnologiile puternice de hacking și supraveghere ajung la clienți nepotriviți, recuperarea lor nu este deloc ușoară. Instrumentele se răspândesc, sunt abuzate și pot continua să fie abuzate mult timp după ce compania care le-a fabricat și-a spălat mâinile de client.
Eitay Mack, un avocat israelian pentru drepturile omului care militează de mult timp împotriva producătorilor de tehnologii de supraveghere precum Cellebrite și NSO Group, a declarat: „Nu este surprinzător și este rezultatul politicilor Cellebrite.” Mack susține că simpla încetare a vânzărilor, sau chiar revocarea unei licențe software, nu împiedică un fost client Cellebrite să abuzeze de tehnologia companiei, așa cum demonstrează acest caz. El a subliniat, de asemenea, că Cellebrite refuză să spună dacă solicită clienților să demonteze instrumentele de hacking pe care le-a vândut, o lacună critică pe care propriile anunțuri de întrerupere a legăturilor nu o abordează.
John Scott-Railton, cercetător principal la Citizen Lab, a declarat pentru TechCrunch că Cellebrite „ar trebui, de asemenea, să dezactiveze de la distanță implementările după rapoarte credibile de abuz și să încheie era negării plauzibile prin implementarea de filigrane criptografice semnate pe toate dispozitivele imaginate.” Cu alte cuvinte, Cellebrite ar trebui să poată „bricka” de la distanță propriile instrumente atunci când sunt utilizate greșit și ar trebui să construiască un fel de amprentă digitală, astfel încât orice date extrase cu tehnologia sa să poată fi urmărite până la dispozitivul specific care a fost folosit.
Cellebrite vinde dispozitive hardware concepute pentru a debloca și sparge telefoanele mobile conectate la ele. De-a lungul anilor, cercetătorii au documentat cazuri în care clienții companiei au folosit tehnologia sa împotriva disidenților, activiștilor pentru drepturile omului și jurnaliștilor. Acest caz este doar cel mai recent dintr-o serie de incidente care pun sub semnul întrebării etica și responsabilitatea companiilor de tehnologie care vând instrumente de supraveghere guvernelor.
În contextul mai larg, această poveste subliniază o problemă fundamentală: chiar și atunci când o companie declară că întrerupe relațiile cu un regim, tehnologia sa poate continua să fie folosită ani de zile. Fără măsuri tehnice solide de control de la distanță și fără transparență în ceea ce privește modul în care sunt gestionate instrumentele după vânzare, astfel de abuzuri vor continua. Companiile trebuie să își asume responsabilitatea nu doar pentru vânzarea inițială, ci și pentru utilizarea ulterioară a produselor lor.
De ce este important:
Acest caz demonstrează că promisiunile companiilor de tehnologie de a întrerupe legăturile cu regimuri autoritare nu sunt suficiente. Fără măsuri tehnice de dezactivare de la distanță și fără transparență, instrumentele de supraveghere pot fi abuzate mult timp după ce compania și-a spălat mâinile. Este un avertisment pentru toate companiile care vând guvernelor și o reamintire că drepturile omului trebuie să fie prioritare în fața profitului.
