L'attaque appelée 'zero day exploit', une fuite n'ayant précédemment fait l'objet d'aucune publication, fut identifiée en mai, et ses effets furent corrigés par WhatsApp. En raison de ce piratage, il était en fait possible pour un pirate d'appeler quelqu'un via WhatsApp et d'infecter son appareil avec du malware (maliciel), afin d'y obtenir un accès complet en ce compris les messages de clavardage (chat) sur WhatsApp.

Parfois, l'attaque était si rapide que la victime n'entendait même pas sonner le téléphone. Selon WhatsApp, 1.400 personnes environ en furent les victimes, principalement des défenseurs des droits des citoyens, des journalistes, des fonctionnaires publics et des diplomates.

Dans une opinion parue dans le Washington Post, Will Cathcart, directeur de WhatsApp (qui est aujourd'hui une filiale de Facebook), annonce que son entreprise entame une procédure juridique à l'encontre de NSO Group.

"Au fur et à mesure que nous avons collecté des informations, nous avons appris que les agresseurs avaient utilisé des serveurs et des services d'hébergement internet liés précédemment à NSO. De plus, certains comptes WhatsApp utilisés pour les attaques sont également liés à NSO. Les tentatives d'agression étaient très sophistiquées, mais pas celles d'effacement des traces des attaquants."

Cathcart insiste sur le fait que les smartphones sont de formidables instruments, mais qui peuvent dévoiler à des tiers dans de mauvaises conditions des éléments tels que notre emplacement ou nos conversations privées: "Chez WhatsApp, nous croyons que les gens ont le droit fondamental au respect de leur vie privée et que personne d'autre ne doit pouvoir accéder à leurs entretiens privés, pas même nous."

Assez ironiquement, s'il s'agit là de l'attitude adoptée par WhatsApp, tel n'est pas le cas de sa société-mère Facebook qui, ces dernières années, a été plusieurs fois attrapée, alors qu'elle transférait des données personnelles à des partenaires, et qu'elle exploitait notamment des numéros de téléphone pour un contrôle à deux facteurs à des fins commerciales.

Le NSO Group même dément à Techcrunch son implication dans les attaques via WhatsApp. "Nous nions les accusations le plus fermement possible et allons les contester juridiquement", affirme l'entreprise.