Η Cellebrite, η ισραηλινή εταιρεία ψηφιακής εγκληματολογίας, δήλωσε ότι διέκοψε τις πωλήσεις στη Ρωσία μετά την εισβολή στην Ουκρανία. Ωστόσο, νέα έκθεση του Citizen Lab αποκαλύπτει ότι οι ρωσικές αρχές συνέχισαν να χρησιμοποιούν τα εργαλεία παραβίασης κινητών της εταιρείας εναντίον πολιτικών αντιπάλων, θέτοντας σοβαρά ερωτήματα για την αποτελεσματικότητα των εταιρικών κυρώσεων και τη διάδοση της τεχνολογίας παρακολούθησης σε αυταρχικά καθεστώτα.
Το περιστατικό με τον Andrey Pivovarov
Ερευνητές του Citizen Lab, της ψηφιακής ομάδας προστασίας δικαιωμάτων του Πανεπιστημίου του Τορόντο, ανακάλυψαν στοιχεία ότι μια ρωσική κυβερνητική μονάδα ερευνών χρησιμοποίησε το εργαλείο UFED (Universal Forensic Extraction Device) της Cellebrite για να παραβιάσει το iPhone του Ρώσου ακτιβιστή και πολιτικού αντιπάλου Andrey Pivovarov τον Ιούνιο του 2021. Το περιστατικό συνέβη μόλις τρεις μήνες αφότου η Cellebrite είχε ανακοινώσει ότι θα σταματήσει «άμεσα» κάθε πώληση στη ρωσική κυβέρνηση.
Η αποτυχία των εταιρικών κυρώσεων
Ο Pivovarov ήταν διευθυντής της αντιπολιτευτικής ομάδας Open Russia και καταδικάστηκε σε τέσσερα χρόνια φυλάκισης, πριν απελευθερωθεί τον Αύγουστο του 2024 ως μέρος ανταλλαγής κρατουμένων μεταξύ Ρωσίας και Δύσης, στην οποία συμπεριλαμβανόταν και ο δημοσιογράφος των Wall Street Journal, Evan Gershkovich.
Το γεγονός ότι ένα κρατικό όργανο της Ρωσίας μπόρεσε να χρησιμοποιήσει τα εργαλεία UFED ακόμη και αφού η Cellebrite ισχυρίστηκε ότι ακύρωσε τις άδειες χρήσης, φανερώνει ένα κρίσιμο κενό: όταν τα ισχυρά εργαλεία παρακολούθησης φτάσουν σε λάθος πελάτη, η ανάκτησή τους είναι εξαιρετικά δύσκολη, αν όχι αδύνατη.
Η άποψη των ειδικών
Ο Eitay Mack, Ισραηλινός δικηγόρος ανθρωπίνων δικαιωμάτων που έχει εκστρατεύσει εναντίον κατασκευαστών τεχνολογίας παρακολούθησης, δήλωσε ότι η διακοπή των πωλήσεων και ακόμη και η ανάκληση αδειών χρήσης λογισμικού δεν εμποδίζει έναν πρώην πελάτη της Cellebrite να κάνει κατάχρηση της τεχνολογίας της. Ο Mack τόνισε ότι η Cellebrite αρνείται να αποκαλύψει αν ζητά από τους πελάτες της να διαλύσουν τα εργαλεία παραβίασης που τους πούλησε — ένα κρίσιμο ερώτημα που οι ανακοινώσεις περί διακοπής συνεργασίας δεν αγγίζουν.
«Δεν προκαλεί έκπληξη, και είναι αποτέλεσμα των πολιτικών της Cellebrite», ανέφερε ο Mack.
Η πρόταση του Citizen Lab
Ο John Scott-Railton, ανώτερος ερευνητής στο Citizen Lab, πρότεινε ότι η Cellebrite θα πρέπει να εφαρμόζει απομακρυσμένη απενεργοποίηση των συσκευών της μετά από αξιόπιστες αναφορές κατάχρησης, και να υιοθετήσει υδατογραφήματα ψηφιακής υπογραφής σε όλες τις συσκευές που χρησιμοποιούνται για εξαγωγή δεδομένων. Αυτό θα επέτρεπε την ιχνηλάτηση των δεδομένων πίσω στη συγκεκριμένη συσκευή που χρησιμοποιήθηκε.
Οι μακροπρόθεσμες επιπτώσεις
Η Cellebrite έχει διακόψει στο παρελθόν συνεργασίες με το Μπαγκλαντές, την Κίνα, το Χονγκ Κονγκ, τη Μιανμάρ και τη Σερβία, μετά από αναφορές ότι οι κυβερνήσεις αυτές χρησιμοποίησαν την τεχνολογία της εναντίον αντιφρονούντων, ακτιβιστών και δημοσιογράφων. Ωστόσο, η υπόθεση Pivovarov καταδεικνύει ότι η απλή διακοπή πωλήσεων δεν αρκεί.
Η Cellebrite, σε email προς το Citizen Lab, δήλωσε ότι «σταμάτησε όλες τις πωλήσεις και υπηρεσίες στη Ρωσική Ομοσπονδία τον Μάρτιο του 2021, τερματίζοντας τις υπάρχουσες άδειες και ξεκινώντας άμεσα τη διάλυση όλων των νομικών συμβολαίων», χαρακτηρίζοντας «εντελώς μη εξουσιοδοτημένη» κάθε χρήση του παλαιότερου εξοπλισμού της στη Ρωσία.
Η υπόθεση αποτελεί προειδοποίηση για κάθε εταιρεία τεχνολογίας που πουλά σε κυβερνήσεις: μόλις η τεχνολογία παρακολούθησης διατεθεί στην αγορά, ο έλεγχος της χρήσης της μπορεί να είναι εξαιρετικά περιορισμένος. Οι εταιρείες οφείλουν να εξετάσουν σοβαρά την υιοθέτηση τεχνικών μηχανισμών απομακρυσμένης απενεργοποίησης και ψηφιακής σήμανσης, ώστε να διασφαλίσουν ότι τα εργαλεία τους δεν θα χρησιμοποιηθούν για καταπάτηση ανθρωπίνων δικαιωμάτων.