Kémszoftver a demokrácia ellen: kifúrták a saját vizsgálóbizottságát az EU

Kémszoftver a demokrácia ellen: kifúrták a saját vizsgálóbizottságát az EU

Egy görög képviselő telefonját lehallgatták, miközben épp a lehallgatásokat vizsgálta. A kanadai Citizen Lab július 3-i jelentése szerint Stelios Kouloglou volt EP-képviselő iPhone-ját 2022 októberében, majd 2023 márciusában is megfertőzték az NSO Group Pegasus nevű kémszoftverével, méghozzá pontosan akkor, amikor a Pegasus visszaéléseket vizsgáló PEGAbizottságban dolgozott.

Ez az első nyilvánosan azonosított eset, amikor a bizottsági munka közben, kémszoftver bevetésével törték fel a testület egy tagjának telefonját. Az ügy önmagában is súlyos, ám a mélyebb tanulság ennél messzebbre mutat, hogy a megfigyelőipar üzletként működik, lobbistákkal és befektetőkkel, a demokratikus kontroll pedig sorra alulmarad vele szemben.

Amikor a vizsgálót figyelik meg a kémszoftverrel

A Citizen Lab kutatói nagy biztonsággal állapították meg a fertőzéseket. Kouloglou eszközét 2022. október 21-én, majd 2023. március 6-án és 7-én törték fel, mindkét alkalommal úgynevezett zero-click támadással, amelyhez az áldozatnak semmilyen linkre nem kell rákattintania.

A dátumok nem véletlenek. Az első fertőzés napokkal a bizottság kulcsfontosságú meghallgatásai előtt történt, miközben az első jelentés tervezete körözött a tagok között. A második akkor, amikor Kouloglou Athénból Brüsszelbe utazott a záródokumentum végső egyeztetéseire.

A telepített program gyakorlatilag mindent lát. A Pegasus üzeneteket, hívásokat, fényképeket olvas ki, ráadásul távolról bekapcsolja a kamerát és a mikrofont.

A kutatók figyelmeztetése szerint a támadók így hozzáférhettek a nem nyilvános bizottsági anyagokhoz, a belső tanácskozásokhoz, valamint a munkatársakkal folytatott levelezéshez. Az egyik fertőzés ráadásul akkor érte a képviselőt, amikor egy műtét miatt kórházban feküdt, ami a görög adatvédelmi jog megsértését is felvetheti.

Kouloglou dühösen reagált, amikor megtudta, mi történt.

A TechCrunchnak úgy fogalmazott , hogy nemcsak a miniszterekkel folytatott szakmai levelezését szerezték meg, hanem a legszemélyesebb pillanatait is. A volt képviselő pert helyezett kilátásba az NSO Group ellen. A Citizen Lab nem tulajdonította a támadást konkrét kormánynak, ám jelezte, hogy a görög államnak semmi köze hozzá, Görögország ugyanis sosem volt Pegasus ügyfél. A nyomok inkább egy korábbi művelet felé mutatnak, amely száműzetésben élő orosz és belarusz újságírókat célzott Európában, ugyanazzal a támadói fiókkal.

A demokráciáknak árult kémszoftver kudarca

Kouloglou esete nem elszigetelt kisiklás, hanem egy egész iparág működési logikájának tünete. A jelenség megértéséhez érdemes megnézni a Paragon nevű céget, amely azzal az ígérettel lépett piacra, hogy máshogy csinálja majd. Az izraeli alapítású vállalat mögött súlyos nevek állnak: az egyik alapító Ehud Barak volt izraeli miniszterelnök, a másik pedig a hírszerzés hírhedt 8200-as egységének korábbi parancsnoka. A Paragon azt hirdette, hogy kizárólag demokráciáknak ad el, szerződésben tiltva az újságírók és civilek célzását.

Az ígéret gyorsan összeomlott

Olasz újságírók és migránsjogi aktivisták kerültek a célpontok közé, köztük a Fanpage.it szerkesztője is. A cég végül maga állapította meg, hogy Olaszország megszegte a keretszerződést, ezért megszakította a kapcsolatot az olasz megrendelővel.

A történet legfurcsább fejezete 2026 februárjában következett, amikor a vállalat egyik vezető jogásza egy LinkedIn-poszttal véletlenül bevillantotta a Graphite nevű rendszer élő kezelőfelületét. A tanulság kényelmetlen: ha egy etikus garanciákra épülő cég sem tudja szavatolni, mire használják a termékét, akkor ezt egyetlen megfigyelőcég sem ígérheti komolyan.

A magyar olvasó ebből a szögből szinte semmit nem hall. Idehaza a Pegasus mint hazai botrány jelenik meg, holott az igazi kérdés az, hogy egy technológiai iparág egyszerűen nem szabályozható a saját önkéntes vállalásaival. A Citizen Lab régóta figyelmeztet: a visszaélés csábítása annyira nagy, hogy még a demokráciák is engednek neki.

Kövesd a pénzt: a kémszoftver washingtoni lobbistái

A megfigyelőipar nem hírként vagy jogi ügyként a legérdekesebb, hanem üzletként. Egyetlen kémszoftver mögött komoly tőke és politikai alku áll. Az NSO Group 2020 óta közel 8 millió dollárt költött amerikai lobbizásra, 2018 óta pedig több mint 15 lobbicéget, ügyvédi irodát, PR ügynökséget és korábbi diplomatát bérelt fel. A cél egyértelmü, hogy lekerülni a kereskedelmi minisztérium feketelistájáról, amelyre 2021-ben tették fel, mert eszközeit kormányzati tisztviselők, újságírók és aktivisták rosszhiszemű célzására használták.

A pénz mozgása politikai fordulattal is jár. A Trump-kormányzat feloldotta a Predator kémprogramhoz köthető három személy elleni szankciókat, valamint átmenetileg újraélesztette a bevándorlási hatóság Paragonnal kötött szerződését, amelyet korábban felfüggesztettek.

A civil jogvédők attól tartanak, hogy a következő lépés az NSO Grouppal szembeni korlátozások enyhítése lesz. Az iparág tehát nem a bíróságokon dől el elsősorban, hanem a lobbisták tárgyalótermeiben, ahol egy kormányváltás átírhatja a szabályokat.

Van itt egy magyar szál is, amelyről alig esik szó. Az izraeli Cobwebs cég, amely később az amerikai PenLinkkel egyesült, olyan technológiát adott Magyarországnak, amely az online reklám-infrastruktúrát használja a program célba juttatására.

Az Access Now vezető jogi tanácsadója, Natalia Krapiva szerint a magyar kormány valószínűleg jogellenesen, a GDPR-t megsértve alkalmazta a rendszert. A reklámadatból épített megfigyelés új módszertan, amely minden internetezőt érint, mégis szinte visszhangtalan a hazai sajtóban.

Mit tehet Brüsszel, és mit jelent ez Magyarországnak

A Kouloglou-ügy nyomán a jogvédő szervezetek azonnali uniós vizsgálatot követelnek. A Center for Democracy and Technology és partnerei szerint az Európai Parlament illetékes szolgálatának teljes körű, független vizsgálatot kell indítania, a Bizottságnak pedig végre érdemben reagálnia kell a PEGA-bizottság ajánlásaira. Ezek az ajánlások közel három éve készültek el, ám az Unió máig nem adott egységes választ a kereskedelmi kémprogramok terjedésére.

Ez a mulasztás Magyarországot közvetlenül érinti. A kémszoftver ellen ugyanis csak egységes uniós fellépés adhat védelmet. A PEGA ajánlások jelentik ugyanis azt a mércét, amelyhez egy hazai reform igazodhatna, ha egyáltalán sor kerül rá. A magyar helyzet ismerős, hogy az Orbán-kormány a Pegasus és a Devil’s Tongue programokat is bevetette újságírók és politikai ellenfelek megfigyelésére.

Az Access Now már megkezdte a munkát magyar civil partnerekkel, köztük a TASZ-szal, a lengyel példa pedig biztató lehet, hiszen ott az új kormány értesítette a megfigyelteket, sőt büntetőeljárásokat is indított.

A tanulság azonban Varsóban is világos, hogy nem elég a korábbi jogsértéseket feltárni, garanciák nélkül a következő kormány is visszaélhet ugyanazokkal az eszközökkel. A magyar kisember számára a tét nem elvont. Az az iparág, amely egy brüsszeli vizsgálóbizottság tagját is lehallgatja, éppúgy elérheti a magyar újságírót, ügyvédet vagy aktivistát, aki a hatalom kényelmetlen ügyeit feszegeti.

A Polkorrekt véleménye

A megfigyelés régóta nem a jog kérdése, hanem a pénzé és a szándéké. Amíg egy iparág milliókat költhet arra, hogy lekerüljön a feketelistáról, és egyetlen kormányváltás enyhítheti a rá kirótt szankciókat, addig az önkéntes etikai vállalások üres marketingszövegek maradnak. Kouloglou telefonja azt bizonyítja, hogy a kémszoftver nem a bűnözők, hanem a kontroll ellen a leghatékonyabb fegyver, hogy  pontosan azt hallgatja le, aki a visszaéléseket firtatja. A magyar olvasónak nem a technológiától kell tartania, hanem attól, hogy nálunk hiányoznak azok a garanciák, amelyek megvédenék a következő megfigyelttől.

Andrew J. Collins