De spionagesoftware Pegasus is in 2019 ingezet om telefoons van 1400 gebruikers, onder wie hooggeplaatste ambtenaren, via WhatsApp te infecteren, zegt WhatsApp-topman Will Cathcart in een interview met The Guardian.

Cathcart ziet overeenkomsten tussen de bevindingen van The Washington Post en zijn mediapartners, en het eigen onderzoek van de berichtendienst naar de aanval via zijn app.

Sinds de aanval heeft plaatsgevonden claimen WhatsApp en moederbedrijf Facebook dat Pegasus is gebruikt om de telefoons van de getroffenen te hacken. Dat gebeurde met een WhatsApp-belletje naar het doelwit, waarbij het gesprek niet eens hoefde te worden opgenomen. Wie achter de aanval zit, is niet bekend.

NSO, het bedrijf achter de spyware, blijft ontkennen dat zijn software is ingezet in de WhatsApp-aanval. Er loopt nog een rechtszaak over de aanval tussen het Israëlische bedrijf en Facebook.

"De berichtgeving van TWP komt overeen met wat we zagen bij de aanval van twee jaar geleden", zegt de WhatsApp-topman. Volgens hem dient dit deels als bewijs dat Pegasus wel degelijk is gebruikt om de 1400 slachtoffers te hacken.

WhatsApp ontdekte dat naast hooggeplaatste ambtenaren, ook journalisten en mensenrechtenactivisten wereldwijd het doelwit waren bij de aanval in 2019. "Veel van de getroffen gebruikers in deze zaak hadden nooit gesurveilleerd mogen worden", zegt Cathcart.

Lijst met 50.000 telefoonnummers gevonden.

Pegasus infecteert telefoons, waarna vrijwel alles is uit te lezen. Zo kan de software berichten kopiëren, door foto's bladeren en gesprekken opnemen. Met alle informatie die het programma verzamelt, kan in potentie worden nagegaan waar de gebruiker is geweest en met wie er contact was.

Vorige week berichtten TWP en andere organisaties dat Pegasus is gebruikt bij (deels succesvolle) pogingen tot hacks van 37 mobiele telefoons van journalisten, activisten en bedrijfsleiders wereldwijd. Tijdens hun onderzoek hebben de onderzoekers ook een lijst met 50.000 telefoonnummers gevonden, die mogelijke surveillancedoelwitten zijn voor overheden die malware gebruiken.

Een woordvoerder van NSO zegt tegen The Verge dat het onderzoek "vol met verkeerde aannames en niet-onderbouwde theorieën zit die twijfels oproepen over de betrouwbaarheid en belangen van de bronnen". Ook zegt het bedrijf het aantal telefoonnummers op de lijst "wordt overdreven" en dat het te hoog is voor het aantal personen dat door de software wordt gesurveilleerd.

WhatsApp-baas Cathcart twijfelt aan die bewering. In het Guardian-interview wijst hij naar de 1.400 gebruikers als bewijs dat het aantal doelwitten "zeer hoog" was.