Фирма всегда декларировала, что не продает свои продукты «репрессивным режимам» и проводит клиентскую политику с учетом возможных последствий использования ее программ для соблюдения прав человека, а также заявляет, что проводит проверки и может принять меры в ответ на сообщения о случаях подобных нарушений». Об этом говорится в мартовском докладе 2015 года междисциплинарной лаборатории Citizen Lab при Университете города Торонто. Годом ранее, в феврале 2014-го, в докладе Citizen Lab было сказано о связях Hacking Team с 11 репрессивными режимами в разных частях света.
Оказавшиеся в публичном доступе внутренние документы фирмы говорят о том, что военное ведомство Азербайджана в 2013 году приобрело лицензию на программу RCS через калифорнийского посредника, фирму Horizon Global Group, за 320 тысяч евро. Эксплуатационный сбор в размере 16 тысяч евро в год в 2014 и 2015 годах также выплачивался через Horizon Global Group. Представители Hacking Team оказались недоступны для комментария.
В коммерческих накладных фирмы Hacking Team есть данные о платеже в 130 тысяч евро от 10 марта 2013 года и платеже в 190 тысяч евро от 30 мая 2013 года за лицензию на покупку RCS. Эти даты и суммы совпадают с информацией из отдельной финансовой отчетности Hacking Team по платежам от властей Азербайджана. У компании Horizon Global Group нет ни своего сайта, ни страниц в соцсетях, ни даже корпоративного номера телефона. Она ограничивается лишь указанием адреса: Ranchos Palos Verdes, Nevada, CA 90274.
Когда в 2013 году в ходе собственного журналистского расследования сотрудники эквадорской газеты El Universo связались с фирмой Hacking Team, там заявили, что не продают свои продукты через «независимых агентов».
Основанная в 2003 году Hacking Team называет себя фирмой для нужд «этичного хакинга», специализирующейся на программах для «активного обеспечения безопасности в сфере IT». В своей презентации 2008 года, которую обнародовал сайт Wikileaks, компания заявляет, что программа RCS (которая, напомним, с 2013 года тайно предоставляется властям Азербайджана) способна незаметно «фиксировать любую активность, генерируемую с помощью персонального компьютера или смартфона».
RCS изменяет функционирование защищенных каналов связи и может собирать данные прямо на инфицированном устройстве, а не только при передаче их через интернет. Содержание электронных писем восстанавливается посредством отслеживания нажатий на клавиатуре еще до кодировки сообщения. Также программа способна без ведома пользователя включить на его устройстве видеокамеру или микрофон.
Утечка из базы данных Hacking Team подтверждает, что фирма продавала программу RCS спецслужбам Казахстана, Узбекистана, Эфиопии, Турции, Египта, Бахрейна, России, Судана и других стран. Только в случае с Россией и Суданом сведения сопровождаются примечанием «официально не поддерживается». Однако ввиду того что Hacking Team никогда публично не называла своих клиентов, значение этой формулировки пока остается неясным.
Несмотря на активное использование программы, онлайн-аналитики и гражданские активисты на сегодня смогли связать ее применение с нарушением некоторых прав человека властями Судана, ОАЭ, Эфиопии и Турции. Лаборатория Citizen Lab зафиксировала, что конечное устройство программы RCS было активно в Азербайджане с июня по ноябрь 2013 года, при этом нельзя достоверно сказать, за кем велось наблюдение.
