NSO Group Condenado a Pagar US$ 168 Milhões à Meta por Espionagem no WhatsApp com Pegasus
Tribunal Federal dos EUA Decide a Favor da Meta em Caso de Espionagem Envolvendo o Software Pegasus do NSO Group
Um júri federal na Califórnia, Estados Unidos, proferiu uma decisão histórica, condenando o NSO Group, empresa israelense de ciberinteligência, a pagar à Meta, controladora do WhatsApp, uma indenização de aproximadamente US$ 168 milhões. A decisão, anunciada na terça-feira, 6 de maio de 2025, encerra um litígio de seis anos e representa uma vitória significativa para a privacidade digital e contra o abuso de softwares de espionagem.
O valor da indenização é composto por mais de US$ 167 milhões em danos punitivos e cerca de US$ 444.719 em danos compensatórios. Os danos compensatórios visam cobrir os custos que a Meta teve para investigar e corrigir as falhas de segurança exploradas pelo NSO Group. Já os danos punitivos têm o objetivo de dissuadir futuras ações semelhantes por parte da empresa israelense e de outras no setor de spyware.
Detalhes do Caso NSO Group vs. Meta e o Spyware Pegasus
A ação judicial foi iniciada pela Meta em outubro de 2019, após engenheiros do WhatsApp descobrirem, em maio daquele ano, uma vulnerabilidade crítica de "zero-clique" na plataforma. Essa falha permitia que o spyware Pegasus, desenvolvido pelo NSO Group, fosse instalado em dispositivos móveis por meio de uma simples chamada de voz via WhatsApp, mesmo que o usuário não atendesse a ligação. Uma vez instalado, o Pegasus concedia aos operadores acesso total aos dados do dispositivo, incluindo mensagens, e-mails, registros de chamadas, localização GPS e até mesmo a capacidade de ativar remotamente a câmera e o microfone do aparelho para gravação clandestina. Aproximadamente 1.400 contas do WhatsApp foram comprometidas por este ataque.
Em dezembro de 2024, um juiz federal já havia decidido que o NSO Group violou leis federais e estaduais dos EUA ao utilizar os servidores do WhatsApp para disseminar o Pegasus. A decisão do júri desta semana focou na determinação do valor da indenização. Durante o julgamento, que durou uma semana, foram ouvidos testemunhos de executivos da Meta e do NSO Group, especialistas em avaliação de danos e engenheiros de software que trabalharam para corrigir as vulnerabilidades exploradas.
Implicações e Repercussões da Decisão Contra o NSO Group
A Meta celebrou a decisão como um importante passo para a privacidade e segurança, classificando-a como a primeira vitória contra o desenvolvimento e uso de spyware ilegal que ameaça a todos. A empresa anunciou que planeja doar os fundos recebidos para organizações de direitos digitais que combatem ataques de spyware. Além disso, a Meta informou que buscará uma ordem judicial para impedir permanentemente que o NSO Group volte a atacar o WhatsApp e que disponibilizará transcrições de depoimentos de executivos do NSO Group para pesquisadores e jornalistas.
Por sua vez, o NSO Group declarou que examinará cuidadosamente os detalhes do veredito e buscará as medidas legais cabíveis, incluindo a possibilidade de novos procedimentos e um recurso. A empresa israelense reiterou sua crença de que sua tecnologia desempenha um papel crucial na prevenção de crimes graves e terrorismo, sendo utilizada de forma responsável por agências governamentais autorizadas. No entanto, essa alegação foi contestada, pois o caso revelou que o Pegasus foi utilizado para atingir jornalistas, ativistas de direitos humanos e dissidentes políticos em diversos países.
O caso também lançou luz sobre as operações internas da indústria de spyware. Revelou-se que o NSO Group cobrava de seus clientes governamentais europeus um preço padrão de US$ 7 milhões para hackear 15 dispositivos por vez, com um custo adicional de US$ 1 milhão a US$ 2 milhões para hackear telefones fora do país do cliente. Documentos judiciais também indicaram que a CIA e o FBI, agências de inteligência dos EUA, pagaram coletivamente US$ 7,6 milhões ao NSO Group.
A Anistia Internacional, que interveio no caso em 2020, saudou a decisão como uma "vitória momentosa na luta contra o abuso de spyware". A organização tem documentado extensivamente como empresas de spyware como o NSO Group possibilitaram violações de direitos humanos em escala global. A decisão do júri é vista como um importante precedente legal e um forte impedimento para a indústria de spyware.
O Spyware Pegasus e a Ameaça à Privacidade Digital
O spyware Pegasus é conhecido por sua sofisticação e capacidade de infectar dispositivos sem a interação do usuário, explorando vulnerabilidades de "dia zero" – falhas de segurança ainda não conhecidas ou corrigidas pelos desenvolvedores de software. Uma vez instalado, o Pegasus pode extrair uma vasta gama de dados do dispositivo infectado, transformando-o em uma ferramenta de vigilância constante. A revelação do uso generalizado do Pegasus pelo Projeto Pegasus em 2021, uma colaboração internacional de veículos de imprensa com o apoio técnico do Security Lab da Anistia Internacional, expôs a dimensão global da crise do spyware.
A luta contra o spyware continua, e a Meta afirmou que, embora o vetor de ataque específico explorado em 2019 tenha sido corrigido, o Pegasus possui outros métodos de instalação para comprometer dispositivos. O NSO Group admitiu gastar dezenas de milhões de dólares anualmente no desenvolvimento de métodos de instalação de malware. A decisão judicial no caso Meta vs. NSO Group é um marco importante, mas a vigilância e os esforços para proteger a privacidade digital permanecem cruciais.
