NSO Group Condenado a Pagar US$ 168 Milhões ao WhatsApp por Ataque com Spyware Pegasus
NSO Group Considerado Responsável por Ataque de Spyware a Usuários do WhatsApp
Um júri federal na Califórnia, Estados Unidos, condenou o NSO Group, empresa israelense de ciberinteligência, a pagar aproximadamente US$ 168 milhões em indenizações ao WhatsApp, de propriedade da Meta. A decisão, divulgada na terça-feira, dia 6 de maio de 2025, conclui um processo iniciado em 2019, no qual o WhatsApp acusou o NSO Group de utilizar seu controverso spyware Pegasus para atingir cerca de 1.400 usuários do aplicativo de mensagens. Este veredito é visto como um marco, sendo a primeira vez que um fornecedor de spyware é responsabilizado judicialmente desta forma, podendo gerar repercussões significativas na indústria de spyware comercial.
Detalhes do Caso e Implicações do Spyware Pegasus
O processo alegava que o NSO Group explorou uma vulnerabilidade de dia zero na funcionalidade de chamada de voz do WhatsApp (identificada como CVE-2019-3568) para instalar o Pegasus nos dispositivos dos alvos. Essa falha permitia que o spyware fosse instalado mesmo que a chamada não fosse atendida, garantindo acesso remoto e secreto aos dados do aparelho. O Pegasus é conhecido por sua capacidade de monitorar chamadas, mensagens de texto, rastrear a localização do usuário, coletar senhas, fotos e até mesmo ativar remotamente a câmera e o microfone do dispositivo infectado.
Documentos judiciais revelaram que entre os alvos da campanha de 2019 estavam jornalistas, ativistas de direitos humanos, dissidentes políticos e diplomatas em diversos países, incluindo México, Índia, Bahrein, Marrocos e Paquistão. No total, indivíduos em 51 países diferentes foram visados. O NSO Group consistentemente argumenta que suas ferramentas são vendidas exclusivamente para agências governamentais de segurança e aplicação da lei com o objetivo de combater o terrorismo e crimes graves. No entanto, investigações e relatórios de organizações como Anistia Internacional e Citizen Lab apontam para o uso generalizado do Pegasus contra figuras da sociedade civil.
A Decisão Judicial e Suas Consequências para o NSO Group
O júri determinou que o NSO Group deve pagar US$ 167.254.000 em danos punitivos e US$ 444.719 em danos compensatórios ao WhatsApp. A juíza Phyllis J. Hamilton já havia decidido em dezembro de 2024 que o NSO Group era responsável por violar as leis de hacking dos EUA e os Termos de Serviço do WhatsApp, encaminhando o caso para um julgamento com júri para determinar os danos. Testemunhos durante o julgamento, incluindo de executivos do NSO Group, revelaram que a empresa está diretamente envolvida nas operações de infecção, o que fundamentou sua responsabilidade direta.
Will Cathcart, chefe do WhatsApp na Meta, afirmou que o veredito é um passo importante para a privacidade e segurança, representando a primeira vitória contra o desenvolvimento e uso de spyware ilegal. Ele também anunciou que a empresa buscará uma ordem judicial para impedir que o NSO Group volte a atacar o WhatsApp e que fará uma doação a organizações de direitos digitais. Por sua vez, o NSO Group declarou que analisará cuidadosamente os detalhes do veredito e buscará as soluções legais apropriadas, incluindo um possível recurso.
Especialistas acreditam que a decisão pode ter um efeito inibidor na indústria de spyware, embora alguns ponderem que empresas como o NSO Group poderiam tentar contornar as consequências financeiras através de reestruturações ou declarando falência. No entanto, o impacto reputacional e os custos legais impostos por processos como este são considerados significativos. A vitória do WhatsApp é vista como simbólica na luta global pela privacidade digital e transparência no uso de tecnologias de vigilância.
O Histórico Controverso do NSO Group e do Spyware Pegasus
O spyware Pegasus está no centro de controvérsias globais há anos. O "Projeto Pegasus", uma colaboração investigativa de mais de 80 jornalistas, revelou em 2021 uma lista vazada de mais de 50.000 números de telefone supostamente selecionados para vigilância por clientes do NSO Group. Entre os alvos estariam chefes de estado, como o presidente francês Emmanuel Macron, e familiares do jornalista saudita Jamal Khashoggi, assassinado em 2018. O NSO Group nega que sua tecnologia tenha sido usada para monitorar Khashoggi ou seus familiares.
A empresa israelense, fundada em 2010, tem sido consistentemente acusada de facilitar violações de direitos humanos ao vender suas tecnologias para regimes autoritários. Em novembro de 2021, o governo dos Estados Unidos adicionou o NSO Group à sua "Lista de Entidades", restringindo exportações para a empresa devido a evidências de que suas ferramentas foram usadas para atingir maliciosamente funcionários do governo, jornalistas, empresários, ativistas, acadêmicos e trabalhadores de embaixadas. Investigações também apontaram que o spyware Pegasus foi negociado com o Brasil.
A decisão judicial contra o NSO Group no caso do WhatsApp reforça a crescente pressão legal e política sobre a empresa e a indústria de spyware como um todo, abrindo precedentes para futuras ações e debates sobre o uso ético e legal de tecnologias de vigilância.
