Defnyddiodd awdurdodau Rwsia offer gan y cwmni Israelaidd Cellebrite i gael mynediad at ffôn carcharor gwleidyddol, er bod y cwmni wedi dweud fisoedd ynghynt ei fod wedi canslo ei gontractau â Rwsia. Daw’r canfyddiad hwn o ymchwiliad gan uned ymchwil Citizen Lab Prifysgol Toronto.
Mae’r achos yn codi cwestiynau am faint o reolaeth sydd gan Cellebrite mewn gwirionedd dros ei feddalwedd ei hun, sy’n caniatáu i ddefnyddwyr ddatgloi ffonau yn hawdd ac archwilio eu cynnwys. Mae’r offer hyn yn cael eu gwerthu ledled y byd ac yn cael eu defnyddio’n eang gan heddluoedd yn y DU a’r UD.
Cafodd Andrei Pivovarov, cyfarwyddwr y sefydliad Open Russia, ei arestio ym mis Mai 2021 a’i ryddhau dros dair blynedd yn ddiweddarach fel rhan o gyfnewid carcharorion proffil uchel a oedd hefyd yn cynnwys y newyddiadurwr o’r UD, Evan Gershkovich.
Tra’r oedd yn y carchar, defnyddiodd awdurdodau Rwsia offer fforensig i dorri i mewn i’w ffôn. Tynnwyd gwybodaeth am ei gysylltiadau a’i fywyd personol a phroffesiynol. Dywedodd Pivovarov fod hyn yn “torri ar ei breifatrwydd” a oedd yn rhoi llawer o’i gydweithwyr mewn perygl.
“Ceisiasant ddod o hyd i’m negeseuon at gydweithwyr eraill o’m sefydliad a gwleidyddion eraill, a gallant ddefnyddio’r rhain mewn achosion troseddol yn eu herbyn. Ar ôl fy arestio, gadawodd sawl un o’m cydweithwyr Rwsia ar unwaith,” meddai.
Defnyddiwyd y wybodaeth hon i adeiladu achos troseddol yn erbyn Pivovarov. Yn ôl dogfennau a roddwyd iddo yn ystod ei erlyniad, casglodd awdurdodau fanylion helaeth am ei gysylltiadau, gan gynnwys cynnwys ei negeseuon ar apiau fel WhatsApp a Viber. Targadwyd rhai o’i gysylltiadau yn ddiweddarach gan Coldriver, grŵp sy’n gysylltiedig â Rwsia. Dywed Citizen Lab fod angen ymchwilio ymhellach i’r cysylltiad hwn.
Dywedodd Citizen Lab fod ymchwiliad fforensig wedi canfod “gyda hyder uchel” y defnyddiwyd offer Cellebrite. Cadarnhawyd hyn gan ddogfen a baratowyd gan awdurdodau Rwsia a’i rhoi i Pivovarov yn ystod ei achos troseddol.
Mae Cellebrite yn honni ei fod “yn gyfan gwbl ar yr ochr dda” ac wedi ceisio gwahaniaethu ei hun oddi wrth gwmnïau fel y Grŵp NSO, y mae ei feddalwedd ysbïo Pegasus wedi cael ei ddefnyddio yn ôl pob sôn gan lywodraethau tramor yn erbyn gwrthwynebwyr, newyddiadurwyr, diplomyddion, a chlerigwyr. Mae NSO yn dweud bod yn rhaid i’w gleientiaid beidio â chamddefnyddio ei feddalwedd ysbïo.
Cafodd ffôn Pivovarov ei hacio ym mis Mai 2021, fisoedd ar ôl i Cellebrite ddweud y byddai’n rhoi’r gorau i werthu ei atebion a’i wasanaethau i gwsmeriaid yn Rwsia a Belarus. Daeth y cyhoeddiad hwnnw ar ôl pwysau gan y cyfryngau yn Israel, pan ddatgelodd grŵp o ymchwilwyr dan arweiniad y cyfreithiwr hawliau dynol Eitay Mack fod offer Cellebrite wedi cael eu defnyddio yn erbyn degau o filoedd o bobl yn Rwsia, gan gynnwys Alexei Navalny.
Dywedodd Mack, er bod Cellebrite wedi cyhoeddi y byddai’n rhoi’r gorau i werthu, ni wnaeth erioed analluogi’r offer yr oedd eisoes wedi’u gwerthu i Rwsia – er bod rhai o’i ddogfennau cyhoeddus yn awgrymu bod ganddo’r gallu i wneud hynny. “Mewn contractau ag awdurdodau America, mae Cellebrite yn cadw’r hawl i ddadosod yr offer. Ond y gwir yw bod eu hoffer ym mhobman.”
Dywedodd Mack fod achosion eraill lle’r oedd offer Cellebrite yn ymddangos fel pe baent yn cael eu defnyddio hyd yn oed ar ôl i’r cwmni ddweud ei fod wedi canslo contractau. Dangosodd ei ymchwiliadau y gellid dal i ddefnyddio’r feddalwedd gyda thrwydded sydd wedi dyddio.
Dywedodd Pivovarov fod defnyddio Cellebrite wedi torri ar ei breifatrwydd ac wedi caniatáu i awdurdodau ddefnyddio ei wybodaeth bersonol yn ei erbyn.
Mewn llythyr agored at y cwmni, ysgrifennodd: “Mae’r corff o ymchwiliadau sydd wedi’u cynnal yn dangos bod Ffederasiwn Rwsia a gwladwriaethau awdurdodaidd eraill yn parhau i weithredu eich dyfeisiau ymhell ar ôl terfynu contractau ffurfiol. Rwy’n cynnig y dylai eich cwmni roi terfyn ar yr arfer o amddiffyn cleientiaid sy’n camddefnyddio eich technoleg yn effeithiol.” Mae Cellebrite wedi gwerthu ei dechnoleg i wledydd awdurdodaidd a gormesol, gan gynnwys Rwsia, Belarus, Tsieina, Gwlad Iorddonen, Kenya, Myanmar, a Serbia. Mae wedi terfynu contractau yn Serbia, Rwsia, Belarus, Bangladesh, Hong Kong, a Tsieina. Fodd bynnag, nid yw wedi terfynu contractau â Kenya na Gwlad Iorddonen, er bod Citizen Lab wedi dod o hyd i dystiolaeth bod awdurdodau yn y ddwy wlad wedi defnyddio Cellebrite i fonitro ffonau actifyddion.
“Os yw Cellebrite wir eisiau rhoi’r gorau i alluogi erlyniadau gwleidyddol, yr ateb yw syml: rhoi’r gorau i werthu i awtocratiaid, analluogi eu technoleg o bell ar ôl adroddiadau dibynadwy o gamddefnydd, a rhoi terfyn ar yr oes o wadu posibl trwy ychwanegu dyfrnodau wedi’u llofnodi’n cryptograffig i bob dyfais y maent yn ei delweddu,” meddai John Scott-Railton, uwch ymchwilydd yn Citizen Lab.
Pan ofynnwyd am sylw, anfonodd Cellebrite e-bost torfol at restr o newyddiadurwyr a Citizen Lab, gan ddweud: “Mae’n amhosibl ymateb i adroddiad amdanom pan na chawsom y cyfle i’w adolygu cyn ei gyhoeddi.”
Ychwanegodd: “Dim ond o dan drwydded ac at ddefnyddiau a awdurdodwyd yn gyfreithiol y darperir technoleg Cellebrite, heb unrhyw eithriadau... Mae unrhyw ddefnydd o galedwedd Cellebrite hŷn yn Rwsia ar ôl mis Mawrth 2021 yn gwbl anawdurdodedig.”
Dywedodd y cwmni y byddai’r caledwedd a werthwyd ganddo cyn mis Mawrth 2021 yn “anghydnaws â dyfeisiau modern ac yn gweithredu heb ein cymorth technegol.”
