"Мій телефон зламали через вразливість iMessage": угорський журналіст-розслідувач про Pegasus

Ексклюзивно
Сабольч Паньї, журналіст-розслідувач угорського видання direkt36. Фото: Суспільне

Сабольч Паньї, журналіст-розслідувач угорського видання direkt36, партнер OCCRPПроєкт розслідування корупції та організованої злочинності став одним із тих, чий телефон "зламали" з допомогою програми Pegasus. У липні 2021 року сталом відомо, що шпигунське програмне забезпечення, розроблене ізраїльською компанією NSO Group, використовувалося для стеження за політиками, активістами і правозихсниками більш ніж із 50 країн.

17 ЗМІ із 10 країн, Amnesty International і Forbidden Stories провели аналіз витоку даних понад 50 тисяч телефонів, матеріали якого надійшли в розпорядження правозахисної організації. З'ясувалось, що від Pegasus постраждали в 11 країнах: Азербайджані, Бахрейні, Угорщині, Індії, Казахстані, Мексиці, Марокко, Руанді, Саудівській Аравії, Того й Об’єднаних Арабських Еміратах (ОАЕ).

В інтерв'ю Суспільному Сабольч Паньї розповів про те, як дізнався, що за ним стежать, про те, як працює технологія Pegasus, про уряд Угорщини, який навіть не заперечує викоритсання технології стеження та про те, чи зможе тепер займатись журналістикою.

Як ви стали частиною історії Пегасус?

Це сталося десь у березні чи квітні, коли Фредерік Обермайєр з "Süddeutsche Zeitung" підійшов до мого шефа і попросив мій номер телефону. Я зрадів, що такий відомий журналіст, котрий займався розслідуванням Панамських документів та іншими серйозними справами, хотів поговорити зі мною. Потім він попросив у мого боса ще кілька номерів, які належать іншим угорським журналістам і власникам медіа. А потім сказав, що робить велику історію і хоче запросити нас взяти участь у ній, але сказати, про що вона, – не може. Він попросив нас встановити безпечну лінію зв'язку. Пізніше він і його колега, а також французький журналіст із “Заборонених історій”, які коордонували проект “Pegasus”, приїхали в Угорщину і розкрили подробиці особистостей – що це буде історія про стеження. Вони попросили, щоб лабораторія безпеки Аmnesty International перевірила мій телефон. Вони зробили резервну копію мого iPhone, завантажити її в систему Amnesty і повернулися з результатом: мій телефон був інфікований шпигунською програмою упродовж кількох місяців у 2019-му. Тож спершу ми навіть не знали назви програми-шпигуна, її походження – а вона ізраїльська, – і ми не знали про всі бази даних, про інших людей, яких вони ідентифікували як ціль. Ми почали працювати над цим десь у квітні чи травні, було багато секретності довкола цього, але ми поставилися з розумінням, коли вони сказали нам.

Кількість даних, які були досліджені з мого телефону, становить від 50 до 100 МБ, що не так вже й багато, але, ймовірно, вони не завантажували з мого телефону якісні відео.

Як ви почувалися, коли дізналися про те, що за вами шпигували?

Це було упродовж семи місяців з 4 квітня 2019-го до 7 листопада того ж року. У цей період часу до мого телефону мали доступ десятки разів або навіть більше. Тож це не було постійне спостереження протягом семи місяців – через кожний другий тиждень, або щотижня, або через день. Ми не знаємо і, ймовірно, ніколи не дізнаємось, до яких даних насправді зверталися.

Стеження за мною через Pegasus могло обійтися у близько 50 тисяч доларів. Це не набагато більше, ніж я отримую щорічно

Тож ви не знаєте, що саме переглядали?

Ні. Мені сказали в Amnesty, що кількість даних, які були досліджені з мого телефону, становить від 50 до 100 МБ, що не так вже й багато, але, ймовірно, вони не завантажували з мого телефону якісні відео. Я маю на увазі, що якби я шпигував за собою, я просто читав би свої електронні листи, Signal чи WhatsApp, мій календар, мої замітки, а також проєкти статей, над якими я працював. Тож я не був повністю шокований тим фактом, що за мною стежили, от що дійсно здивувало, – те, що є прямі докази, які це підтверджують.

За що ви найбільше хвилювалися?

Моя сім’я, мої друзі та мої джерела. Я боявся, що мої джерела будуть скомпрометовані, що не тільки за мною, але й за близькими мені людьми могли шпигувати. Наприклад, за моєю мамою, яка весь час надсилала мені повідомлення, картинки з собаками абощо. Це не ті речі, які варті стеження, але моє почуття приватності було вщент зруйновано. Водночас було обнадійливо знати, що в попередні роки я був дуже параноїдальним, у мене були гірші періоди – коли я весь час озирався, коли йшов по вулиці, просто щоб подивитися, чи хтось йде за мною.

Я думав, що збожеволію, але зрештою виявилося, що я не параноїк, у мене були причини хвилюватися, що за мною стежать.

Який саме матеріал привернув до вас увагу?

Я здебільшого працював над історіями, пов'язаними з іноземним впливом в Угорщині, особливо з російським та китайським. Мене "хакнули" через день після того, як я відправив запит на коментар у міністерства щодо інституції, яка називається Міжнародний інвестиційний банк. Це російська компанія з акціонерами з колишніх соціалістичних країн, таких як Монголія, Куба чи Угорщина. Банк перемістив свою штаб-квартиру з Москви у Будапешт, були серйозні острахи, що ця установа – прикриття для російської розвідки. Уряд Угорщини не дуже вітав цю установу, але вони також планували надати дипломатичну недоторканність персоналу цього банку. І на наступний день після того, як я надіслав запити про цей банк, мій телефон був зламаний.

Через два дні я зустрівся з американським журналістом, який приїхав до Будапешта через ту ж саму установу. І напередодні зустрічі у мій телефон заходили – це був вже другий раз, коли з мого телефона можна було чудово отримати певну інформацію. Пізніше ми з'ясували, що телефон місцевого фіксера цього американського журналіста також опинився в базі зламаних телефонів – їх усього 50 тисяч по всьому світу, з них понад 300 – угорських. Причина, чому перевіряли фіксера, але не самого американського журналіста, полягала в тому, що Pegasus не може ламати американські телефонні номери. Замість самого журналіста перевіряли його місцевого фіксера, ймовірно, знали про пересування журналіста в Будапешті, з ким він зустрічався тощо, адже фіксер перекладав на зустрічах. Ми майже достеменно впевнені, що це була перша історія, коли за мною почали стежити. Потім це тривало сім місяців.

Увесь цей час я працював над історіями, що були пов’язані з національною безпекою, і найсмішніше те, що одна з історій – це був лонгрід про відносини між урядами Віктора Орбана і Беньяміна Нетаньягу. Як вони почали приймати один одного, співпрацювати. Це було досить смішно, коли виявилося, що в час, коли я розслідував угорсько-ізраїльські зв'язки, за мною стежило ізраїльське програмне забезпечення, яке продали з дозволу міністра оборони Ізраїлю уряду Віктора Орбана.

Угорський уряд не заперечує, що отримував та використовував Pegasus. Міністр закордонних справ, наприклад, сказав, що неможливо не слідкувати за людьми на основі їхньої професії тому, що ці люди можуть становити загрозу національній безпеці Угорщини або національним інтересам, навіть якщо це журналіст.

Ви все-таки опублікували вашу історію про Міжнародний інвестиційний банк?

Так. Я розкрив ці історії, але міг зробити це в певний період часу. Я працював над дуже чутливою історією, яка стосувалася російських дилерів зброї та розслідування США проти них, ці дилери базувалися в Будапешті. Я працював над розвитком історії про них, але я не міг її закінчити, бо мої джерела замовкли. І тепер я думаю, що, можливо, це тому, що ті, хто стежив за мною, відмовляли мої джерела говорити.

Ви кажете “вони” увесь час, кого ви маєте на увазі?

Усі непрямі докази стосуються угорського уряду. Сам угорський уряд не заперечує, що отримував та використовував цю технологію. Вони навіть не заперечують, що використовують це проти журналістів. Міністр закордонних справ, наприклад, сказав, що неможливо не слідкувати за людьми на основі їхньої професії тому, що ці люди можуть становити загрозу національній безпеці Угорщини або національним інтересам, навіть якщо це журналіст.

Ми знаємо, що в цьому списку є мішені, наприклад, відомі злочинці, і лише угорська влада, а не хтось інший, розслідує їх. Ми також маємо конфіденційні джерела, які раніше працювали у компанії NSO та працювали у розвідці Угорщини, які підтвердили, що Угорщина таки купила Pegasus і використовувала його з 2018 року, і ми також знаємо – це публічна інформація, – ніхто інший, крім держав, державних суб’єктів та органів влади, не може використовувати Pegasus. Таким чином, ви не можете передати це на аутсорсинг компанії, приватна особа не може це купити.

Читайте також: Що кажуть журналісти, за якими шпигували через Pegasus

Що ви зробили, коли дізналися, що ваш телефон зламали?

Я відразу почав розслідувати, що я робив у цей період часу. Аналіз, який був зроблений на моєму телефоні, показав мені точні назви файлів та процесів, які відбувалися на моєму телефоні протягом цього періоду часу, а також дати, коли ці процеси були виконані, тому я намагався співставити ці дати з моїми листами електронною поштою, а також зі своїм календарем, щоб побачити, що я робив у ті дні, коли мене переслідували.

Коли я перевірив дати, виявилося, що за мною стежили, коли я надсилав інформаційні запити до угорських міністерств – через кілька днів мій телефон зламували.

У ті періоди, коли я не надсилав запити, а активно працював чи зустрічався з людьми, цього не відбувалося. Тому я вважаю, вони просто хотіли знати, над якою історією я працюю, звідки я отримую інформацію, і, ймовірно, люди з розвідки хотіли попередити своїх начальників про ті чи інші мої матеріали. Тож те, що я зробив опісля, – мені порадили вжити деяких елементарних заходів безпеки. Наприклад, коли я маю більш конфіденційні розмови, поруч немає телефону. Я вимкнув iMessage та FaceTime, тому що, наприклад, мій телефон зламали через вразливість iMessage. І я регулярно перевіряю свій телефон в Amnesty, щоб подивитися, чи немає свіжих вірусів, але з кінця 2019-го на моєму телефоні не було нічого підозрілого.

Фото: Суспільне
Я хочу працювати журналістом, але я повинен знайти способи принаймні заспокоїти себе і розуміти, що я не завдам шкоди іншим людям.

Що ви робитимете з цим далі? Чи плануєте звертатися в суд?

Я не довіряю нашому судочинству в Угорщині. І я також не вірю, що тут може бути чесне розслідування. Розпочато розслідування, в якому я проходжу як свідок. І також є кілька окремих розслідувань по всьому світу. "Репортери без кордонів" Міжнародна недержавна організація захисту прав людини, яка оберігає свободу слова в усьому світізапросили мене долучитися до судового позову. Також вони надсилають листа в ООН і вимагають від угорського уряду пояснення. Я приєднався до цих ініціатив.

Одна з проблем полягає в тому, що якби я подав у суд на угорський уряд, мені довелося б віддати на аналіз свій телефон угорським слідчим, призначеним угорським судом, а всі ці люди так чи інакше пов’язані з тими самими органами безпеки, які ми підозрюємо у вчиненні цього злочину. Я розмовляв з деякими іншими жертвами – дехто з них власники ЗМІ, підприємці, адвокати, – і вони дійшли до такого ж висновку.

Хоча Угорщина є країною ЄС, правила та закони ЄС повинні застосовуватися до Угорщини принаймні в короткостроковій або середньостроковій перспективі, але домогтися справедливості просто неможливо. Я майже впевнений, що буде справа, яка закінчиться в Страсбурзі в Європейському суді, але це займе роки, тому я налаштований не дуже оптимістично.

Було дуже смішно, коли я поставив питання Шалеву Хуліо, засновнику і керівнику NSOІзраїльська компанія NSO Group, яку звинувачують у постачанні урядам шпигунської програми, і витоком даних, ми говорили по радіо. Ведучий дозволив мені поставити запитання, і я розказав, як за мною стежили через Pegasus. Він сказав: "Якщо це правда, то це жахливо, ми обов'язково проведемо розслідування, і якщо ви можете підтвердити те, що сказали, ми пересвідчимося, що це більше не повториться, відріжемо клієнта від доступу до системи". Але в той же час Хуліо не зміг підтвердити, що це угорська держава, оскільки згідно із законом Ізраїлю вони не можуть коментувати своїх клієнтів.

В Угорщині просто немає системи противаг, щоб забезпечити мені хоч якесь правосуддя. Єдиний незалежний орган, напівнезалежний орган, який стверджує, що наглядає за службами безпеки в Угорщині, – це парламентський комітет з питань національної безпеки, опозиційні депутати, члени цього комітету хотіли провести розслідування. Але члени керівної партії не з’явились на засідання, тому не було кворуму, вони навіть не могли розпочати слухання.

Що ми ще знаємо про це шкідливе програмне забезпечення? Скільки воно коштує?

Воно досить просунуте. Pegasus здійснює так звані атаки з "нульовим кліком", тож ціль навіть не здогадується, що Pegasus вже в нього в телефоні: вам не потрібно натискати на жодні посилання, вам не приходять жодні повідомлення, які можуть інфікувати телефон. Pegasus може підключатися через камеру або мікрофон вашого телефону. Навіть до Signal та інших додатків. У принципі, він має доступ до будь-чого, а також може відстежувати ваше місцезнаходження в режимі реального часу.

За допомогою Pegasus ви можете отримати більше інформації про людину, ніж якби зустрічатися з кимось особисто.

Усі мої паролі, все. І оскільки він настільки просунутий, це дуже дорого. Деякі опубліковані раніше контракти свідчать про те, що він є в країнах Латинської Америки. Мексика була найпершим клієнтом Pegasus, також Панама. Плата за ціль виявилася приблизно 70-80 тисяч доларів. Ми вважаємо, що сьогодні ця ціна може складати 40-50 тисяч доларів, але це також залежить від інших речей, таких як, наприклад, дані про права людини в конкретній країні або регіоні, де ці країни знаходяться, оскільки існують більш проблемні країни, які становлять ризик для репутації NSO. Стеження за мною через Pegasus могло обійтися у близько 50 тисяч доларів. Це не набагато більше, ніж я отримую щорічно, коли ти журналіст-розслідувач, – це просто шалена сума грошей. Також обурює те, що це пуста трата державних грошей. Я журналіст, я все одно публікую цю інформацію, а не купую чи продаю таємно.

Як змінилося ваше життя після цього?

Це досить складне питання, і я не маю відповідей. Наприклад, я не знаю, чи можу я залишитися в цій професії, далі працювати угорським журналістом. Я не знаю, як я міг би продовжувати займатися своєю справою, я хочу працювати журналістом, але я повинен знайти способи принаймні заспокоїти себе, розуміти, що я не завдам шкоди іншим людям.

Тепер я ще більше покладаюся на блокнот, ручку та особисті зустрічі, ніж раніше.

Маю деякі додаткові заходи безпеки для мого обладнання. Але я розумію, що все, що пов’язано з Інтернетом, врешті-решт є ризиком. Мої друзі та моя сім’я дуже мене підтримували, звичайно, це обурило багатьох людей, які мене люблять, Я дав багато інтерв'ю – я думаю, це хороший спосіб розкрити цю історію.

Фото: Суспільне

Cподіваюся, що розголос, який прийшов після викриття Pegasus, міг би послужити певним захистом. Можливо, ризик, пов'язаний із переслідуванням або повторним шпигунством за мною, все ще є, але так чи інакше я живу в країні ЄС, і мені здається, що мені пощастило. В інших країнах, наприклад, в Марокко, буквально через два-три дні, як ми опублікували нашу історію, один із журналістів, за якими шпигували за допомогою Pegasus, уже перебував під вартою, його засудили до шести років ув’язнення, якщо не помиляюся. Також виявилося, що мексиканського журналіста, якого застрелили у 2017 році, перевіряли через це програмне забезпечення за кілька тижнів до його вбивства. Відомі й інші випадки. Напевно, це найбільша історія мого життя як журналіста.

Дивіться також: Pegasus. Як через ізраїльське ПЗ слідкували за журналістами та урядовцями. СУСПІЛЬНЕ | ВІДЕОНОВИНИ

Читайте нас у Telegram: головні новини України та світу

Станьте частиною Суспільного: повідомляйте про важливі події з життя вашого міста чи селища. Надсилайте свої фото, відео та новини і ми опублікуємо їх на діджитал-платформах Суспільного. Пишіть нам на пошту: story@suspilne.media. Користувачі акаунтів Google можуть заповнити форму тут. Ваші історії важливі для нас!