Närmare 50 000 telefonnummer till aktivister, journalister och politiker runt om i världen kan ha övervakats med hjälp av spionprogrammet Pegasus. Bland dem som kan ha utsatts finns enligt medieuppgifter tre presidenter, tio premiärministrar och en kung.
Tunga världsledare har fördömt övervakningen och Israels parlament har inlett en granskning av tillverkaren NSO.
Men NSO är bara en av många spelare i en växande högteknologisk spionindustri, som på senare tid kraftigt expanderat sin kundkrets.
– De här verktygen har blivit billigare och billigare, säger Allie Funk, analytiker inom teknik och demokrati på den amerikanska tankesmedjan Freedom House.
– Så det är inte bara världens främsta underrättelsetjänster som kan köpa dem. Det är mindre regeringar eller lokala polismyndigheter.
Auktoritära stater
NSO hävdar att företaget bara säljer till godkända kunder och att dessa i sin tur förbinder sig enbart använda Pegasus i kampen mot terrorism eller grov brottslighet. Bland dessa godkända kunder finns dock auktoritära stater som Azerbajdzjan, Förenade Arabemiraten, Kazakstan och Marocko.
Ron Deibert, som leder det kanadensiska forskningscentret Citizen Lab, säger att även fattiga regeringar numera kan "köpa sitt eget NSA" – en anspelning på USA:s underrättelsetjänst National security agency vars massövervakning 2013 exponerades av visselblåsaren Edward Snowden.
Citizen Lab granskar staters digitala övervakning. Så sent som förra veckan publicerade forskningscentret en rapport om ett annat israeliskt underrättelseföretag, Candiru, vars spionprogram ska ha använts för att övervaka oppositionella i Turkiet och Singapore.
Israeliska intressen
2017 avslöjade Citizen Lab att Etiopien använt spionprogram från Cyberbit – ännu ett israeliskt företag – för att övervaka dissidenter utomlands.
– Det finns flera anledningar att vi ser många israeliska bolag, säger Ron Deibert.
En är den "öppet entreprenöriella" inställningen hos signalunderrättelsetjänsten Yehida Shmoneh-Matayim, Israels motsvarighet till svenska FRA, som uppmanar sin personal att starta privata företag efter fullgjord militärtjänstgöring.
Enligt Citizen Lab finns det en "stark misstanke" om att Israel får "strategiska underrättelser" genom den mjukvara dessa företag säljer till främmande makt.
Men Israel är långt ifrån det enda landet med företag som säljer färdigförpackade spionprogram. I Tyskland pågår en rättegång mot Fin Fisher, som använts mot aktivister i Turkiet och Bahrain. Liknande rättsprocesser har inletts mot italienska och spanska spionföretag.
Verkar i en gråzon
Företagen hävdar att de bidrar till en säkrare värld genom att effektivisera brottsbekämpning. Men de verkar själva i en juridisk gråzon, säger Loic Guézo, generalsekreterare på den franska ideella cybersäkerhetsorganisationen Clusif.
Pegasus kan infiltrera telefoner genom säkerhetshål i meddelandeappar. Informationen om dessa säkerhetsluckor kommer ofta från ljusskygga hackare och säljs på darknet.
– NSO har satsat mycket på forskning och utveckling, men företaget förlitar sig också på den grå marknaden för att få tillgång till sårbarheter, säger Loic Guézo.
Företag som exempelvis amerikanska Zerodium agerar mellanhänder mellan industrins vita och svarta del, köper stulen information och säljer den vidare till aktörer som NSO.
"Tjänar på det"
I Pegasusskandalens kölvatten höjs nu allt fler röster för striktare reglering av den privata underrättelsesektorn. Människorättsorganisationer har krävt ett moratorium mot försäljning av spionprogram.
Men det blir svårt att få gehör, tror Ron Deibert på kanadensiska Citizen Lab.
– Verkligheten är att nästan alla regeringar har ett intresse i att bevara industrin som den är, hemlighetsfull och oreglerad, för att de tjänar på det, säger han.