NSO Group Condenado a Pagar Indenização Milionária ao WhatsApp por Campanha de Spyware
NSO Group Enfrenta Consequências Legais por Ataque de Spyware ao WhatsApp
A empresa israelense de cibersegurança NSO Group foi condenada por um júri da Califórnia a pagar uma indenização de quase US$ 168 milhões à Meta, controladora do WhatsApp. A decisão refere-se a uma campanha de spyware em 2019 que explorou uma vulnerabilidade no aplicativo de mensagens para instalar o software espião Pegasus nos telefones de mais de 1.400 usuários. Esta é a primeira vez que o NSO Group é condenado a pagar uma indenização judicial por suas atividades de espionagem.
A indenização inclui aproximadamente US$ 447 mil em danos compensatórios e US$ 167,3 milhões em danos punitivos. A Meta já havia obtido uma vitória em dezembro, quando um tribunal concluiu que o NSO Group violou leis federais e estaduais dos EUA ao explorar ilegalmente uma falha no WhatsApp. O NSO Group declarou que analisará os detalhes do veredito e buscará as soluções legais apropriadas, incluindo um possível recurso.
Detalhes do Ataque com o Spyware Pegasus do NSO Group
O spyware Pegasus, desenvolvido pelo NSO Group, é conhecido por sua capacidade de se infiltrar secretamente em dispositivos móveis com sistemas Android e iOS. Uma vez instalado, o Pegasus permite o monitoramento de praticamente todas as atividades do aparelho, incluindo mensagens de texto, e-mails, chamadas telefônicas, localização, além de poder sequestrar o microfone e a câmera do dispositivo, transformando-o em uma ferramenta de vigilância constante. O software é comercializado para governos com o objetivo de combater o terrorismo e o crime, mas tem sido associado a diversos casos de espionagem de jornalistas, ativistas de direitos humanos e dissidentes políticos.
No caso do ataque ao WhatsApp em 2019, o Pegasus explorou uma vulnerabilidade no sistema de chamadas do aplicativo para se instalar nos dispositivos das vítimas, muitas vezes sem a necessidade de qualquer ação por parte do usuário, em um tipo de ataque conhecido como "zero clique". Entre abril e maio de 2019, aproximadamente 1.400 usuários foram alvo dessa campanha.
Implicações da Decisão Judicial para o NSO Group e a Indústria de Spyware
A decisão do júri da Califórnia representa uma vitória significativa para a Meta e para os defensores da privacidade digital. Will Cathcart, chefe do WhatsApp, afirmou que o veredito é um passo importante para a privacidade e segurança, e um forte impedimento para a indústria de spyware. Organizações de direitos digitais, como a Access Now, também celebraram a decisão, considerando-a uma vitória para as vítimas do Pegasus e um sinal de que empresas de vigilância digital podem ser responsabilizadas por seus atos.
O julgamento também expôs detalhes sobre as operações do NSO Group, revelando que o WhatsApp não foi o único alvo da empresa. Durante o processo, um advogado do NSO Group chegou a nomear publicamente alguns de seus clientes governamentais ligados aos ataques de 2019, incluindo México, Arábia Saudita e Uzbequistão. Esta foi a primeira vez que a empresa identificou publicamente seus clientes. Documentos judiciais também indicaram que usuários em 51 países foram alvo da campanha de 2019.
A batalha legal, que se estendeu por quase seis anos, representa um golpe para o sigilo do NSO Group e pode assustar seus clientes. A empresa já havia sido adicionada à Lista de Entidades dos Estados Unidos em 2021, que identifica organizações consideradas uma ameaça à segurança nacional americana. O próximo passo para o WhatsApp é buscar uma ordem judicial para impedir que o NSO Group volte a atacar a plataforma.
Contexto e Controvérsias Envolvendo o NSO Group e o Spyware Pegasus
O NSO Group alega que fornece sua tecnologia apenas a governos autorizados para combater crimes graves e terrorismo. No entanto, investigações de organizações como o Citizen Lab e a Anistia Internacional revelaram o uso do Pegasus contra alvos não relacionados a essas atividades, incluindo jornalistas, ativistas e políticos. Uma lista vazada com mais de 50.000 números de telefone, supostamente selecionados para vigilância pelo Pegasus, continha contatos de figuras proeminentes da sociedade civil em diversos países. Embora o Brasil não estivesse entre os prováveis clientes na lista vazada, reportagens indicaram que um representante do NSO Group participou de um processo licitatório do Ministério da Justiça e Segurança Pública para aquisição de tecnologia de coleta de dados.
A sofisticação do Pegasus, que pode infectar dispositivos sem deixar rastros facilmente detectáveis, levanta sérias preocupações sobre privacidade e vigilância estatal sem controle. A decisão judicial contra o NSO Group no caso do WhatsApp é um marco na luta contra o abuso de spyware e pode encorajar outras empresas afetadas a buscar reparação legal.
