Washington Post и 16 других изданий проанализировали список из более чем 50 тысяч телефонных номеров, отобранных для ведения слежки при помощи шпионской программы Pegasus. По условиям лицензии программу можно применять только для слежки за особо опасными преступниками или террористами. Несмотря на это в списке находятся не только они, но и журналисты, правозащитники, крупные политики, бизнесмены и их родственники. 

Pegasus — разработка израильской компании NSO. Она предоставляет владельцу полный доступ ко всем данным на устройствах пользователей, включая медиафайлы, контакты, встречи, GPS, почту и сообщения. Кроме того, Pegasus может прослушивать и записывать телефонные звонки и видео, управляя микрофоном и видеокамерой устройства. 

NSO продаёт шпионские программы правительствам под условием, что софт будут применять только против серьёзных преступников и террористов. Журналисты почти двух десятков организаций провели расследование и обнаружили список клиентов компаний и телефонных номеров, которые они отслеживают или планируют отслеживать при помощи шпионских программ. 

Расследование проводили 80 журналистов и 17 медиа-организаций из 10 стран. Руководила ими компания Forbidden Stories при технической поддержке Amnesty International, проводившей криминалистические тесты по выявлению шпионских программ на смартфонах. Forbidden Stories — некоммерческая организация, занимающаяся вопросами защиты свободы слова и деятельности журналистов. Она также помогает репортёрам, попавшим в трудную ситуацию, и продолжает расследования убитых или севших в тюрьму журналистов.

Благодаря утечки данных из NSO Forbidden Stories получила доступ к списку из 50 тысяч телефонных номеров, выбранных клиентами компании для слежки. В ходе анализа выяснилось, что как минимум десять клиентов израильской компании в качестве цели указали 189 журналистов из 20 стран. Кроме журналистов в качестве целей указаны члены арабской королевской семьи, 65 руководителей частных компаний, 85 правозащитников и более 600 политиков и правительственных чиновников, включая агентов служб безопасности, военных, несколько глав государств и премьер-министров. Журналисты заявили, что постепенно раскроют личности всех людей, указанных в списке.

Как показал анализ, около 15 тысяч номеров из списка принадлежали гражданам Мексики. Марокко и Объединённые Арабские Эмираты выбрали для отслеживания по 10 тысяч номеров каждая. Кроме них за смартфонами активно следят правительства Азербайджана, Бахрейна, Казахстана, Руанды, Саудовской Аравии, Венгрии и Индии. Около тысячи номеров из списка принадлежат жителям европейских стран.

Журналисты, ведущие расследование, тоже обнаружили себя или своих родственников и друзей в списке. Среди них часть работает в крупных престижных изданиях, таких как CNN, Guardian, New York Times, Associated Press, Bloomberg, Financial Times и Reuters.

В списке находятся и уже убитые репортёры, в частности, Сесилио Пинеда Бирто. Через месяц после того, как его номер добавили в список, Бирто убили в ходе вооружённого нападения. Часть журналистов получали юридические угрозы, были арестованы или сбежали в другую страну из-за преследований. Например, азербайджанская журналистка Хадиджа Исмайлова, отсидевшая полтора года в тюрьме по обвинению в уклонении от налогов и растратах. Правозащитные организации и сама Хадиджа назвали дело сфабрикованным. За ней и её родственниками также велась слежка через Pegasus.

Amnesty International провела анализ 67 смартфонов, заподозренных в наличии Pegasus. Из них 23 устройства действительно содержали следы деятельности программы. В 14 смартфонах специалисты обнаружили признаки попыток взлома. Остальные 30 устройств не показали присутствия вредоносной программы, но специалисты связывают это с недавней заменой телефонов и особенностями работы разных операционных систем. В отличие от iOS, Android не регистрирует информацию, необходимую для экспертизы. Тем не менее, на трёх устройствах с Android специалисты нашли признаки таргетинга, связанного с Pegasus. Результаты экспертизы подтвердила канадская лаборатория Citizen Lab, занимающаяся исследованиями в области информационной безопасности. 

Журналисты сделали несколько запросов NGO и правительствам стран для выяснения обстоятельств. NGO ответила, что не управляет системами, которые продаёт «проверенным государственным заказчикам», и не имеет доступа к данным целевых объектов. По словам юристов компании, заявления журналистов ложные и найденный им список не может быть списком номеров, на которые нацелены их покупатели. 

Авторы расследования попросили у NGO информацию о клиентах, которая подтвердила бы или опровергла их выводы. Но компания отказалась предоставлять данные, добавив, что продолжит внутреннее расследование инцидента и самостоятельно примет все соответствующие меры. 

В своих ответах страны категорически отрицают причастность к использованию Pegasus для слежки за журналистами и политическими активистами. Руанда заявила, что не использует Pegasus и не обладает для этого техническими возможностями. Правительство Венгрии также опровергло обвинения, заявив что Венгрия — демократическое государство, всегда действующее в рамках закона. Власти Марокко и Индии назвали обвинения журналистов бездоказательными. Правительства Объединенных Арабских Эмиратов, Дубая, Саудовской Аравии, Азербайджана, Бахрейна, Казахстана и Мексики не ответили на запрос журналистов.