NSO הישראלית מעדיפה לא להיקרא "ספקית תוכנות ריגול", אלא "ספקית טכנולוגיה המסייעת לסוכנויות ממשלתיות למנוע ולחקור טרוריזם ופשע על מנת להציל אלפי חיים ברחבי העולם". אבל השורה התחתונה נשארת זהה: היא מפתחת תוכנה בשם פגסוס, שמסוגלת לשאוב מידע רב מטלפונים סלולריים עבור גורמים שמוכנים לשלם על המידע הזה, תוך ניצול של פרצות במקום לדווח עליהן לחברות האלוונטיות ולדאוג לתיקונן.

בימים האחרונים פורסם דו"ח של אמנסטי אינטרנשיונל, בשיתוף Citizen Lab ו-80 עיתונאים מ-17 גופי תקשורת ב-10 מדינות, ולפיו החברה ניצלה פרצות אבטחה בטלפונים, ובמיוחד ב-iOS, המערכת עליה מבוססים מכשירי אייפון של אפל, כדי לפרוץ לטלפונים של אזרחים חפים מפשע בכל רחבי העולם בלי כמעט שום רמזים.

הפריצות, שלפי הדו"ח טרם תוקנו מאז גילוין ב-2018, מאפשרות לחברה לשתול רכיבים זדוניים על מכשירי אייפון בלי שבעל המכשיר יעשה דבר, בניגוד לכלי פריצה אחרים שדורשים פיתוי של הקרבן הפוטנציאלי להוריד אפליקציה זדונית או להיכנס לאתר זדוני. הכלי של NSO מסוגל, לפי הדו"ח, לשלוח את עצמו למכשיר של הקרבן הפוטנציאלי בכל אחת מאפליקציות ההודעות, ולנצל רכיבים באפליקציות הללו היוצרים תצוגה מקדימה של קישורים כדי לגרום לטלפון להוריד רכיבי תוכנה שמאפשרים אליו גישה כמעט מוחלטת.

בנוסף, הכלי של החברה מסוגל גם למחוק ראיות לפעילותו על המכשיר – אלא שהחוקרים הצליחו למצוא ראיות ש"פגסוס" שכח למחוק, כמו אזכורים לכתובות שמהן הוא פועל ברשימות סמלילי האתרים שאליהם ניגש המכשיר וברשימות האפליקציות שהשתמשו בגישה של המכשיר לרשת.

לפי הדו"ח, החוקרים מצאו מאגר של כ-50,000 מספרי טלפון ב-45 מדינות, ובהם כמעט 200 עיתונאים, ש"היו על הכוונת" של פגסוס – אלא שהרשימה הזו אינה קשורה לחברה, ואין כל ראיה לכך שכל מספר שנמצא בה אכן נפרץ. עם זאת, הם ניתחו 67 טלפונים שהיו ברשימות ומצאו ראיות לפעילות של פגסוס על 37 מהם.

מעניין לציין כי הכתובות שבהן השתמשה לכאורה התוכנה היו מאוחסנות בעיקר בגרמניה, בריטניה, שווייץ, צרפת וארה"ב, וכי המדינות שהכניסו לרשימת בקשות הריגול הכי הרבה מספרים היו אזרבייג'ן, איחוד האמירויות, בחריין, הודו, הונגריה, מקסיקו, מרוקו, סעודיה, קזחסטן ורואנדה.

NSO טענה בתגובה לדו"ח כי הוא מבוסס על הנחות יסוד שגויות, כגון מאגר מספרי הטלפון שאין לו שום קשר אליה, והוסיפה כי השירותים שלה נמכרים אך ורק לסוכנויות ממשלתיות במדינות המחויבות לשמירה על זכויות אדם. המנכ"ל, שליו חוליו, התראיין לתחנת הרדיו 103FM ואמר שאין לחברה "רשימת מטרות", וכי היא ניתקה את קשריה עם ממשלות רבות שניצלו את השירותים שלה להפרת זכויות אדם, כפי שהתגלה בתחקירים קודמים של אמנסטי.