Pegasus dan kematian tragis para jurnalis kritis

Cecilio Pineda Birto baru saja berayun masuk ke hammock saat sejumlah pria bersenjata mendekatinya. Menurut saksi mata, pria-pria asing itu langsung memberondong tubuh bongsor Pineda. Setidaknya sepuluh letusan terdengar.

Pineda tewas bersimbah darah. Peluru menembus dada dan leher wartawan lepas berusia 38 tahun itu.

Eksekusi Pineda terjadi pada 2 Maret 2017. Petang itu, Pineda baru memasukkan pick-up miliknya sebuah tempat cuci mobil di Ciudad Altamirano, Tierra Caliente, Meksiko. Ia memutuskan ngaso di hammock sembari menunggu mobilnya digarap. 

Dua jam sebelumnya, ia baru saja bikin broadcast di Facebook Live. Dalam siaran itu, Pineda menuding oknum polisi dan politikus lokal berkolusi dengan geng narkotika Meksiko yang terkenal dengan nama El Tequilero. 

Tak diketahui siapa yang mengeksekusi Pineda ketika itu. Namun, hasil investigasi bertajuk The Pegasus Project yang dirilis baru-baru ini menunjukkan nomor ponsel Pineda turut dipesan untuk jadi target Pegasus, spyware yang dikembangkan oleh NSO Group. Pesanan itu masuk beberapa pekan sebelum Pineda tewas. 

"Orang dengan kekuasaan bisa melakukan apa pun yang mereka mau. Jika mereka sukses (menginfeksi ponsel Pineda dengan spyware), mereka pasti tahu di mana dia setiap saat," kata Marisol Toledo, janda mendiang Pineda, seperti dikutip dari Guardian. 

Hasil investigasi The Pegasus Project--digarap belasan media massa bekerja sama dengan Forbidden Stories dan Amnesty International--menunjukkan sedikitnya 50 ribu nomor ponsel yang diminta klien untuk dimata-matai menggunakan Pegasus.

Di ponsel, Pegasus bekerja "memanen" SMS, email, foto, video, nomor kontak, rekaman telepon, perbincangan di WhatsApp, data mikrofon aktif, data kamera aktif, dan data GPS. Pegasus ke ponsel target melalui pesan berisi tautan ke situs "jebakan" yang dikirim via SMS, iMessage, WhatsApp, dan aplikasi sejenis. 

Hasil investigasi juga menunjukkan bahwa Pegasus digunakan untuk memata-matai keluarga Jamal Khashoggi, jurnalis berkebangsaan Arab Saudi yang tewas dibunuh saat berada di konsulat Arab Saudi di Instanbul, Turki, pada 2 October 2018. 

Pegasus diketahui ter-install di ponsel milik Hatice Cengiz, empat hari sebelum Khashoggi dibunuh oleh agen intelijen Arab Saudi. Cengiz ialah tunangan Khashoggi. Keduanya berencana menikah setelah Khashoggi bercerai. 

Pegasus juga terdeteksi ada di ponsel istri Khashoggi, Hanan Elatr, pada periode September 2017 dan April 2018. Ponsel milik Abdullah, putra Khashoggi, dan sejumlah kerabat Khashoggi di Arab Saudi dan Uni Emirat Arab pun terinfeksi spyware itu. 

Eksaminasi forensik menunjukkan Elatr dikirimi setidaknya empat pesan singkat berisi tautan yang terhubung ke Pegasus. Hasil analisis menemukan bahwa ponsel Elatr dibidik dari Uni Emirat Arab. Pemesannya klien NSO di Arab Saudi.

"Jamal telah mengingatkan saya (peretasan) ini mungkin bisa terjadi. Ini membuat saya meyakini bahwa mereka (para pembunuh Jamal) mengetahui apa yang terjadi kepada Jamal setiap saat melalui saya," kata Elatr.

Hasil penyidikan badan intelijen AS menunjukkan Khashoggi tewas setelah dicekik dan diinjeksi obat-obatan dalam dosis besar. Setelah mati, tubuh Khashoggi lantas dimutilasi dan diserahkan ke "kolaborator" agen-agen Arab Saudi. Hingga kini, tak diketahui di mana jenazah Khashoggi.

Beberapa tahun sebelum dihabisi, Khashoggi rutin mengisi kolom di Washington Post. Kebanyakan tulisan Khashoggi mengkritik kebijakan-kebijakan Kerajaan Arab Saudi. Khashoggi khatam seluk beluk kerajaan lantaran pernah jadi penasihat pemerintah Arab Saudi. 

Amnesty Internasional menyebut setidaknya ada 180 jurnalis di 20 negara yang nomor ponselnya dipesan jadi target Pegasus sejak 2016 hingga Juni 2021. Mayoritas jurnalis yang menjadi target berada di Meksiko, Azerbaijan, Hungaria, India, Maroko, Uni Emirat Arab, dan Belarusia.

"Banyaknya wartawan yang teridentifikasi sebagai target menunjukkan bagaimana Pegasus digunakan sebagai alat untuk mengintimidasi media yang kritis. Ini tentang bagaimana mengontrol narasi publik, menentang penyidikan, dan menekan suara-suara yang berbeda," kata Sekretaris Jenderal Amnesty International Agnès Callamard.

Hasil investigasi juga menunjukkan wartawan-wartawan di media besar seperti Associated Press, CNN, The New York Times dan Reuters jadi target Pegasus. Selain dari kalangan wartawan, nomor-nomor ponsel yang menjadi target berasal dari kalangan pebisinis, tokoh agama, staf lembaga swadaya masyarakat, dan pejabat negara.

Bagaimana Pegasus dan NSO berkembang? 

Pada peristiwa kematian Pineda dan Jamal, NSO Group membantah terlibat. Dalam berbagai pernyataan resmi, mereka menegakan Pegasus dan perangkat mata-mata yang diproduksi NSO hanya dipakai untuk melacak teroris dan kriminal. 

Didirikan pada 2010, NSO merupakan singkatan yang lahir dari gabungan inisial para pendiri, yakni Niv Carmi, Shalev Hulio, dan Omrie Lavie. Pemodal awal NSO ialah Eddy Shalev, salah satu pengusaha modal ventura Israel paling sukses yang "hobi" memodali perusahaan-perusahaan high-tech. 

Menurut Shalev Hulio, NSO didirikan untuk mengembangkan teknologi yang memungkinkan penegak hukum dan agensi intelijen memiliki akses dan mengendalikan telepon seluler dari jarak jauh. Ia mengklaim ide membangun teknologi semacam itu datang dari agensi-agensi intelijen Eropa. 

"Dengan teknologi yang kalian miliki, kalian bisa membantu kami menyelesaikan beragam masalah. Mendengar teknologi kami bisa turut menyelamatkan nyawa, kami lalu berkata, 'Sebut apa yang dibutuhkan, kami akan melakukannya,'" kata Hulio seperti dikutip dari Ynetnews. 

Struktur dan perkembangan NSO dijelaskan secara rinci dalam "Operating From The Shadows: Inside NSO Group Corporate Structure" yang digarap Amnesty International, Privacy International, dan The Center for Research on Multinational Corporation (SOMO). Riset itu terbit sebelum The Pegasus Project dirilis. 

Menurut Amnesty cs, NSO mulai berkembang pesat setelah dilirik Fransisco Partners, sebuah firma saham yang berbasis di California, Amerika Serikat. Pada Maret 2014, firma itu mengakuisisi 70% saham NSO senilai US$115 juta. 

Sebelum akuisisi itu, NSO sempat mengubah struktur perusahaan. Pada 2 Desember 2013, para pendiri NSO mendaftarkan sebuah perusahaan lain L.E.G.D Company Ltd. Pada 2016, perusahaan saudara NSO itu berganti nama menjadi Q Cyber Technologies Ltd.

Dalam korespondensi dengan Amnesty cs, NSO mengonfirmasi Q Cyber Technologies Ltd merupakan pemilik saham terbesar dan pengendali NSO Group. "Terkonfirmasi pula bahwa NSO Technologies Ltd dan Q Cyber Technologies Ltd mengembangkan, memasarkan, dan mengekspor Pegasus dan produk-produk analisis lainnya untuk digunakan pemerintah berbagai negara," kata Amnesti cs. 

Mendapat suntikan dana dari Fransisco Partners, NSO mulai melebarkan sayap. Pada pengujung 2014, cabang dan perwakilan NSO teregistrasi ada AS, Luksemburg, Ciprus, Virgin Island Inggris, Belanda, dan Bulgaria. Izin ekspor ke berbagai negara juga diperoleh. Selama masa ekspansi itu, Q Cyber Technologies Ltd berfungsi sebagai distributor komersial produk-produk NSO. 

Seiring meningkatnya permintaan atas Pegasus dan perangkat mata-mata milik NSO lainnya, nilai aset NSO terus meningkat. Pada 2019, Francisco Partners memutuskan untuk menjual NSO ke Novalpina Capital dan para pendiri terdahulu. Mayoritas saham NSO yang diakuisisi Novalpina Capital senilal US$1 miliar. 

Karena kekhasan bisnisnya, NSO tak pernah mengumumkan nama klien dan target-target mereka. Pada mulanya, Amnesty International dan lembaga-lembaga sejenis mengetahui eksistensi Pegasus dari berbagai kasus peretasan aktivis dan jurnalis yang terungkap ke publik. 

Kasus pertama yang terungkap ialah upaya peretasan terhadap aktivis HAM asal Uni Emirat Arab,  Ahmed Mansoor. Pada 10 Agustus 2016, Mansoor menerima pesan aneh dari nomor yang tidak ia kenal. Dilengkapi dengan sebuah link, isi pesan bicara soal rahasia terbaru mengenai penyiksaan tahanan di penjara-penjara Uni Emirat Arab. 

Rutin jadi korban peretasan, Mansoor tak mengklik tautan itu. Pesan itu kemudian ia kirimkan ke seorang peneliti di Citizen Lab, organisasi pengawas HAM digital di University of Toronto. Hasil analisis Citizen Lab menunjukkan pesan yang dikirimkan ke Mansoor berisi tautan ke Pegasus. 

Kepada Guardian, salah satu mantan broker sekaligus klien NSO menyakini para petinggi perusahaan teknologi asal Israel itu sebenarnya paham Pegasus tak semata-mata dipakai untuk melacak aktivitas para kriminal. 

"Saya akan bilang tentu saja mereka tahu. Itu opini saya. Tentu saja semua paham itu. Tapi, apakah itu pernah diumumkan? Apakah mereka pernah bilang, 'Kita akan menggunakan ini (Pegasus) untuk musuh rezim?' Tidak. Mereka tak pernah bilang itu," kata sang broker.

Senjata siber kaum diktator

The Pegasus Project menunjukkan Pegasus merupakan salah satu spyware tercanggih di dunia saat ini. Selain ponsel pintar berbasis Android, Pegasus juga mampu menginfeksi semua ponsel yang menggunakan sistem iOS teranyar. Selain itu, Pegasus juga diluncurkan dari menara-menara telekomunikasi yang telah dimanipulasi. 

Martin Muno, editor Deutsche Welle, mengatakan skandal Pegasus kian menegaskan bahwa data yang tersimpan di dalam ponsel sebenarnya tak aman meskipun telah terinkripsi. Apalagi, pemesan jasa NSO bukan hanya rezim otoriter saja, tapi juga pemerintah di negara-negara bercorak demokrasi. 

"Lantas, tak ada yang baru. Akan tetapi, informasi ini tetap mengerikan karena Pegasus ternyata juga tentang pembunuhan, pemenjaraan, dan intimidasi. Harus ada konsekuensi dari terungkapnya skandal Pegasus," kata Muno. 

Menurut Muno, NSO juga harus diseret ke meja hijau. NSO tidak bisa "cuci tangan" dengan menyatakan tidak tahu-menahu apa yang dilakukan para klien dengan data-data yang dikumpulkan oleh Pegasus dari para target. 

"Siapa pun yang menyediakan software mata-mata untuk rezim otoriter seperti Belarusia dan Arab Saudi ikut bertanggung jawab terhadap pelanggaran HAM, termasuk pembunuhan yang terjadi. Ini juga harus jadi dasar untuk prosekusi (NSO) di Israel," kata dia. 

 
Dalam sebuah opini yang terbit di Washington Post, David Kaye and Marietje Schaake mengatakan perkembangan industri spyware telah mengancam demokrasi dan perlu diregulasi. Keduanya menyarankan sejumlah cara untuk mencegah skandal Pegasus kembali terjadi. 

Pertama, pemerintah harus memberlakukan moratorium penjualan Pegasus hingga regulasi yang mengatur ekspor spyware terbentuk. Kedua, penggunaan spyware semacam Pegasus harus diatur oleh regulasi domestik dan diungkap secara transparan kepada publik. 

Ketiga, lanjut mereka, korban-korban peretasan berbasis sypware seperti Pegasus harus diberikan keleluasaan untuk menuntut pemerintah dan perusahaan yang terlibat dalam industri mata-mata.

"Individu-individu kerap diserang oleh aktor-aktor yang beroperasi di luar batas negara dan hukum domestik kerap menciptakan penghalang untuk menuntut akuntabilitas. Halangan ini harus dihilangkan," kata Kaye dan Schaake. 

Terakhir, perusahaan produsen spyware harus jadi subjek pengawasan beragam pemangku kepentingan. NSO tak bisa bersembunyi di balik layar dengan sekadar mengklaim bisnisnya telah mengikuti standar praktik korporasi global berbasis HAM. 

"Kebijakan-kebijakan yang NSO wajib terbuka untuk diselidiki secara independen. Komunitas internasional harus bekerja sama untuk membangun kode perilaku global dan menyetop penyebaran spyware untuk merepresi," tulis mereka.