Pivovarov wurde am 31. Mai 2021 auf einem Flug am Flughafen St. Petersburg aus dem Verkehr gezogen; sein iPhone 12 und sein MacBook wurden beschlagnahmt. Er habe weder einer Durchsuchung zugestimmt noch seine Passwörter herausgegeben. Die Geräte blieben bis 2023 in staatlichem Gewahrsam. Im Juli 2022 wurde er zu vier Jahren Haft verurteilt, im August 2024 kam er im Rahmen eines Gefangenenaustauschs frei.

Im Herbst 2025 übergab Pivovarov das iPhone an Forschende des Citizen Lab. Die darauf gefundenen Spuren stammen aus dem Jahr 2021, also aus der Zeit, in der sich das Gerät in russischem Gewahrsam befand. MobileLockdown-Aufzeichnungen, die vertrauenswürdige USB-Kopplungen eines iPhones erfassen, zeigten am 17. Juni 2021 eine Verbindung zu einer Host-ID, die einem Cellebrite-Fingerabdruck entsprach, den die Forschenden bereits in einem früheren Fall in Jordanien identifiziert hatten. Das Citizen Lab bewertet dies als Beleg mit hoher Sicherheit für den Einsatz von Cellebrite UFED.

Zusätzliche Stütze erhält dieser Befund durch russische Verfahrensunterlagen. Pivovarov erhielt im Zuge seiner Strafverfolgung einen Bericht mit dem Titel „Forensischer Gutachtenbericht Nr. 1269-17“, erstellt für das russische Ermittlungskomitee durch das forensische Zentrum des Innenministeriums, und stellte dem Citizen Lab eine Kopie zur Verfügung. Darin werden Cellebrite UFED Physical Analyzer und UFED 4PC ausdrücklich als verwendete Produkte genannt.

Der Bericht dokumentiert das Auslesen von Daten aus WhatsApp, Telegram und Viber. Außerdem zeigt er Suchanfragen der Ermittler nach „Open Russia Civic Movement“ sowie nach namentlich genannten Oppositionsfiguren, darunter Mikhail Khodorkovsky, die Anwältin Anastasiya Burakova und Pivovarovs Partnerin Tatiana Usmanova.

Beim MacBook scheiterten die Behörden dagegen. Laut dem Bericht des Innenministeriums wurde eine Extraktion durch Verschlüsselung blockiert. Das Citizen Lab fand dazu passende fehlgeschlagene Anmeldeversuche vom selben Tag, was darauf hindeutet, dass die Behörden Pivovarovs Passwort nie hatten.

Im Zentrum der Veröffentlichung steht die Frage, was ein Verkaufsstopp praktisch wert ist. Cellebrite hatte im März 2021 angekündigt, den Verkauf nach Russland und Belarus einzustellen. Nach Darstellung des Citizen Lab kappte dieser Schritt zwar Updates, ließ bereits vorhandene Hardware aber weiter einsatzfähig. Große Teile von UFED funktionierten demnach auch lange nach Support-Ende offline weiter. Genau darin liege die Schwachstelle eines solchen Stopps: Das Risiko betreffe nicht nur künftige Verkäufe, sondern auch die bereits bei Polizei- und Geheimdienststellen installierte Basis.

Zu einer Anfrage vom 22. Juni erklärte Cellebrite gegenüber Citizen Lab und Access Now, jede Nutzung seiner älteren Hardware in Russland nach März 2021 sei „vollständig unautorisiert“. Die Hardware laufe ohne Unterstützung oder Zustimmung des Unternehmens; heute sei sie mit modernen Geräten nicht kompatibel. Russland stehe dauerhaft auf der Liste eingeschränkter Kunden, zudem stelle das Unternehmen auf Abonnementlizenzen um, die nach Ablauf nicht mehr funktionieren.

Citizen Lab verweist außerdem auf eine Überschneidung: Mehrere Namen, nach denen auf Pivovarovs Telefon gesucht wurde, tauchten später als Ziele von COLDRIVER auf, einer mit dem FSB verbundenen Phishing-Operation; Burakova wurde dabei ins Visier genommen, fiel aber nicht darauf herein. Einen direkten Zusammenhang behauptet das Citizen Lab nicht.

Russland reiht sich damit neben Serbien, Kenia und Jordanien in eine wachsende Liste von Fällen ein, in denen Missbrauch von Cellebrite mit forensischen Belegen untermauert wurde.