یک هیئت منصفه فدرال آمریکا شرکت اسرائیلی NSO Group را محکوم به پرداخت ۱۶۷ میلیون دلار خسارت تنبیهی و ۴۴۴ هزار دلار خسارت جبرانی به واتساپ کرد. این حکم به دلیل حمله سایبری سال ۲۰۱۹ صادر شد که در آن NSO با استفاده از آسیب‌پذیری zero-day واتساپ، بدافزار جاسوسی Pegasus را روی ۱۴۰۰ کاربر نصب کرد. این پرونده به عنوان اولین مورد محکومیت قانونی یک شرکت تولیدکننده بدافزار جاسوسی در تاریخ شناخته می‌شود.

حمله از طریق آسیب‌پذیری CVE-2019-3568 در سیستم تماس صوتی واتساپ انجام شد که امکان نصب خودکار بدافزار را حتی بدون پاسخ دادن به تماس فراهم می‌کرد. قربانیان شامل فعالان حقوق بشر، روزنامه‌نگاران و دیپلمات‌ها بودند. دادگاه همچنین مشخص کرد که NSO مستقیماً در عملیات آلوده‌سازی دستگاه‌ها دخیل بوده و حتی پس از شکایت متا، از آسیب‌پذیری‌های جدید دیگری استفاده کرده است. این حکم پیام مهمی برای صنعت بدافزارهای تجاری محسوب می‌شود.