De zero day exploit, een niet eerder ontdekt lek, werd in mei geïdentificeerd en aangepakt door WhatsApp. Daarbij was het mogelijk om iemand via WhatsApp te bellen en intussen met malware het toestel te infecteren zodat de aanvaller volledige toegang kreeg tot dat toestel, inclusief chatberichten op WhatsApp.

Soms ging de aanval zo snel dat het slachtoffer de telefoon niet eens hoorde rinkelen. Volgens WhatsApp zijn er zo'n 1.400 mensen aangevallen, voornamelijk burgerrechtenactivisten, journalisten, overheidsfunctionarissen en diplomaten.

In een opiniestuk in de Washington Post zegt Will Cathcart, hoofd van WhatsApp (dat vandaag een dochterbedrijf is van Facebook), dat zijn bedrijf een juridische procedure opstart tegen de NSO Group.

"Naarmate we informatie hebben verzameld, leerden we dat de aanvallers servers en internethostingdiensten hadden gebruikt die voorheen gelinkt waren aan NSO. Daar bovenop zijn bepaalde WhatsApp accounts die voor de aanvallen zijn gebruikt gelinkt aan NSO. Hun aanvalspogingen waren zeer gesofisticeerd, maar pogingen om hun sporen uit te wissen waren dat niet."

Cathcart benadrukt dat smartphones geweldige tools zijn, maar in slechte omstandigheden zaken als onze locatie of onze privégesprekken met anderen kunnen onthullen. "Bij WhatsApp geloven we dat mensen een fundamenteel recht op privacy hebben en dat niemand anders toegang hoort te krijgen tot je privégesprekken, zelfs wij niet."

Ironisch genoeg is dat de houding van WhatsApp, maar niet van diens moederbedrijf Facebook, dat de afgelopen jaren meermaals betrapt werd op het doorspelen van persoonlijke gegevens aan partners en onder meer telefoonnummers voor tweestapsverificatie misbruikte voor commerciële doeleinden.

De NSO Group zelf ontkent tegenover Techcrunch dat het betrokken was bij de aanvallen via WhatsApp. "We betwisten de beschuldigingen in de sterkst mogelijke termen en zullen ze aanvechten." Aldus het bedrijf.

NSO is echter wel omstreden. Het bedrijf is al in verband gebracht met mensenrechtenschendingen in Latijns-Amerika en het Midden-Oosten. NSO zelf heeft tot nu toe altijd benadrukt dat zijn software is bedoeld om terrorisme aan te pakken, en dat het bedrijf op die manier juist veel levens redt.