A Justiça dos Estados Unidos condenou, na última sexta-feira (20), a empresa israelense NSO Group por explorar uma brecha no WhatsApp para instalar um programa espião nos celulares dos usuários.
++Cientistas desenvolvem olho biônico com potencial para restaurar visão de cegos
O processo contra a empresa foi aberto em 2019 pela Meta (na época chamada de Facebook), dona do WhatsApp. Ela acusou a NSO de invadir seus servidores sem autorização para instalar o programa espião Pegasus e monitorar 1.400 pessoas ilegalmente.
++“Máquina de lavar humanos” será lançada em 2025; quanto tempo leva o banho?
Segundo o WhatsApp, o Pegasus era instalado nos celulares das vítimas por meio de códigos maliciosos que a NSO enviou entre abril e maio de 2019 usando uma vulnerabilidade no recebimento de chamadas de vídeo do aplicativo. A vítima não precisaria sequer atender a ligação para que o ataque fosse concluído.
A falha foi corrigida em maio daquele ano, quando o WhatsApp divulgou um alerta orientando que seus usuários atualizassem o app.
Em 2021, jornais do Reino Unido e dos EUA revelaram a existência de uma lista de 50 mil números que teriam sido alvos em potencial do Pegasus. Eles pertenciam a jornalistas, ativistas de direitos humanos e dissidentes. Líderes de Estado, como o presidente da França, Emmanuel Macron, também apareciam na relação de possíveis vítimas.
O NSO Group sempre negou as acusações, alegando que o Pegasus é vendido apenas para agências governamentais e que é usado somente para perseguir terroristas e grandes criminosos. A empresa também afirma não ter acesso aos dados de seus clientes.
Na última sexta-feira, a juíza Phyllis Hamilton, de Oakland, na Califórnia, considerou o grupo culpado por hacking e quebra de contrato, segundo a agência Reuters. O próximo passo será o julgamento dos prejuízos que teriam sido gerados pela espionagem ilegal.
A responsabilização da empresa que desenvolveu o programa espião foi comemorada pelo WhatsApp e bem recebida por especialistas em segurança digital. O presidente do WhatsApp, Will Cathcart, classificou a condenação como uma vitória para a privacidade.
“Passamos cinco anos apresentando nosso caso porque acreditamos firmemente que empresas de programas de espionagem não podem se esconder atrás de imunidade ou evitar arcar com as consequências pelas suas ações ilegais”, escreveu Cathcart em um post na rede social X.
John Scott-Railton, pesquisador sênior do Citizen Lab, grupo de pesquisa de segurança digital da Universidade de Toronto, no Canadá, que foi o primeiro a falar sobre as suspeitas envolvendo o programa Pegasus em 2016, afirmou que o julgamento representa um marco com “implicações enormes para a indústria da espionagem”.
“Toda a indústria tem se escondido sob o argumento de que o que os clientes fazem com suas ferramentas não é responsabilidade delas. A decisão desta sexta deixa claro que o NSO Group é, de fato, responsável por infringir várias leis”, completou Scott-Railton.
O NSO Group também é alvo de outro processo aberto pela Apple.
Sucessão de suspeitas
Quando o WhatsApp acusou a NSO, o grupo afirmou que não atuava diretamente na aplicação de suas tecnologias, mas isso foi contestado pelo Facebook (hoje Meta). A empresa dizia ter evidências de que a criadora do software de espionagem também auxiliou em sua operação.
Will Cathcart afirmou, na época, que o NSO Group não conseguiu apagar seus rastros, embora o ataque tenha sido altamente sofisticado.
Segundo a Meta, pessoas ligadas ao NSO criaram contas no WhatsApp entre janeiro de 2018 e maio de 2019. Nesse período, essas pessoas aceitaram os termos de serviço do WhatsApp, sujeitando-se às suas condições. Ao violar esses termos e atacar usuários do aplicativo, o NSO Group teria infringido também a legislação de crimes informáticos dos EUA.
O Pegasus ficou conhecido por supostamente ter sido utilizado para invadir o celular do fundador da Amazon, Jeff Bezos, em 2020. A suspeita é de que o programa tenha sido instalado no iPhone de Bezos por meio de um vídeo enviado pelo WhatsApp.
Em 2021, o Forbidden Stories, organização sem fins lucrativos de Paris, e a Anistia Internacional informaram a um grupo de jornais que haviam conseguido uma lista de 50 mil números que poderiam ter sido invadidos pelo Pegasus.
Na lista estavam números de jornalistas que trabalhavam para agências como Associated Press e Reuters, jornais como The Wall Street Journal, The Financial Times e Le Monde, e redes como CNN.
A Anistia Internacional afirmou que na lista também constava o número de telefone de Hatice Cengiz, noiva do jornalista Jamal Khashoggi, assassinado no consulado da Arábia Saudita em Istambul em 2018. O smartphone dela foi incluído no rol quatro dias após o assassinato.
Dos 50 mil smartphones listados, 15 mil eram do México. Além disso, havia números de Arábia Saudita, França, Hungria, Índia, Azerbaijão, Cazaquistão e Paquistão, entre outros.
A Anistia denunciava ataques a ativistas e jornalistas por meio do Pegasus havia pelo menos três anos. De acordo com um relatório do Citizen Lab de 2018, havia indícios de que o programa foi usado em 45 países, incluindo o Brasil.
Não deixe de curtir nossa página no Facebook, no Twitter e também no Instagram para mais notícias do 111Next.
