NSO Group Condenado a Pagar US$ 168 Milhões ao WhatsApp por Campanha de Spyware
Por Mizael Xavier
Vitória da Privacidade: NSO Group Enfrenta Pesada Indenização por Ataque ao WhatsApp
Uma corte federal dos Estados Unidos ordenou que o NSO Group, empresa israelense de cyber inteligência, pague quase US$ 168 milhões em indenizações ao WhatsApp e sua controladora, a Meta. A decisão marca um capítulo crucial na longa batalha judicial iniciada em 2019, após a descoberta de que o spyware Pegasus, produto carro-chefe do NSO Group, foi utilizado para hackear aproximadamente 1.400 contas do WhatsApp. Este veredito é considerado uma vitória significativa para defensores da privacidade e críticos da indústria de spyware.
O júri em Oakland, Califórnia, determinou que o NSO Group deve pagar US$ 444.719 por danos compensatórios, cobrindo os custos que a Meta teve para remediar o ataque, e mais de US$ 167 milhões em danos punitivos. Os danos punitivos têm como objetivo dissuadir o NSO Group e outras empresas de conduzirem ações semelhantes no futuro.
Detalhes do Caso NSO Group e o Spyware Pegasus
A ação judicial teve início quando o WhatsApp acusou o NSO Group de explorar uma vulnerabilidade no sistema de chamadas de vídeo do aplicativo para instalar o spyware Pegasus nos dispositivos dos usuários. Entre as vítimas estavam jornalistas, ativistas de direitos humanos, dissidentes políticos e diplomatas. O Pegasus é um software de vigilância poderoso que permite aos seus operadores controlar remotamente um dispositivo, acessando microfone, câmera, mensagens, e-mails e outros dados.
O NSO Group argumentou que apenas licencia o Pegasus para agências governamentais legítimas com o objetivo de combater o terrorismo e crimes graves, e que não opera o software diretamente. A empresa também tentou se proteger sob a Lei de Imunidades Soberanas Estrangeiras (FSIA), alegando agir como agente de governos estrangeiros, mas essa defesa foi rejeitada pelos tribunais americanos.
Em dezembro de 2024, a juíza Phyllis Hamilton já havia decidido que o NSO Group violou leis federais e estaduais de hacking, incluindo o Computer Fraud and Abuse Act (CFAA), e também os termos de serviço do WhatsApp. A decisão do júri sobre os valores da indenização culmina essa fase do processo.
Implicações da Decisão e o Futuro da Indústria de Spyware
A Meta celebrou a decisão como um passo importante para a privacidade e segurança, destacando ser a primeira vitória contra o desenvolvimento e uso de spyware ilegal. Will Cathcart, chefe do WhatsApp, afirmou que a decisão envia um recado para que empresas de spyware saibam que suas ações ilegais não serão toleradas. A Meta também planeja buscar uma liminar permanente para impedir que o NSO Group utilize suas plataformas ou tecnologias no futuro e exigir a exclusão de qualquer código relacionado às suas plataformas que ainda esteja em posse da empresa israelense.
Por outro lado, o NSO Group declarou que pretende recorrer da decisão, reafirmando que sua tecnologia desempenha um papel crucial na prevenção de crimes graves e terrorismo. Um porta-voz da empresa mencionou que a perspectiva sobre o uso responsável da tecnologia por agências governamentais autorizadas foi excluída da análise do júri.
A condenação do NSO Group pode ter um efeito intimidador na indústria de spyware. Organizações de direitos humanos e defensores da privacidade veem o resultado como um precedente importante. No entanto, o CEO do NSO Group, Yaron Shohat, já havia testemunhado que a empresa enfrenta dificuldades financeiras e poderia não ter condições de pagar uma indenização significativa. O futuro da empresa e o impacto mais amplo na indústria de vigilância permanecem incertos.
A Meta também anunciou que publicará transcrições de depoimentos de executivos do NSO Group para auxiliar pesquisadores no entendimento do uso de spyware globalmente e que fará uma doação para organizações de direitos digitais.
O Alcance do Spyware Pegasus
O spyware Pegasus é conhecido por sua capacidade de infectar dispositivos iOS e Android, muitas vezes através de ataques "zero-clique", que não exigem nenhuma ação por parte do usuário para serem bem-sucedidos. Uma vez instalado, o Pegasus pode monitorar textos, e-mails, chamadas, localização e ativar remotamente o microfone e a câmera do dispositivo, transformando-o em uma ferramenta de vigilância constante. Investigações anteriores, como o Projeto Pegasus, revelaram uma lista de dezenas de milhares de números de telefone selecionados como alvos por clientes do NSO Group, incluindo chefes de estado, ativistas e jornalistas.
Este caso ressalta a crescente preocupação com o abuso de tecnologias de vigilância e a necessidade de responsabilização das empresas que as desenvolvem e comercializam.
