A acusação e o início do caso

De acordo com reportagens, a lista de smartphones invadidos pelo malware Pegasus ultrapassa 50 mil aparelhos — Foto: DuoNguyen/Unsplash

O caso contra a empresa NSO Group começou em 2019 e foi iniciado pela Meta, que na época ainda era chamada de Facebook. A Meta acusou a NSO de acessar seus servidores sem autorização para instalar o spyware Pegasus, resultando na vigilância ilegal de 1.400 usuários.

O funcionamento do spyware Pegasus

A Meta revelou que o malware Pegasus era implantado nos smartphones das vítimas através de códigos maliciosos enviados entre abril e maio de 2019, explorando uma vulnerabilidade nas chamadas de vídeo do WhatsApp. Curiosamente, as vítimas não precisavam atender a essas chamadas para que o ataque fosse bem-sucedido.

A falha foi corrigida em maio de 2019, com a Meta emitindo um alerta para que todos os usuários atualizassem seu aplicativo imediatamente.

A lista de alvos e a reação

Em 2021, veículos de comunicação do Reino Unido e dos EUA reportaram a existência de uma lista com 50 mil números de telefone que poderiam ter sido alvos do Pegasus. Os números pertenciam a jornalistas, ativistas de direitos humanos e opositores políticos, incluindo o presidente francês, Emmanuel Macron.

A condenação da NSO Group

O NSO Group sempre negou as acusações, afirmando que o Pegasus é vendido apenas para agências governamentais, com o intuito de combater terrorismo e grandes crimes. A empresa garante que não tem acesso aos dados de seus usuários.

Na última sexta-feira, a juíza Phyllis Hamilton, de Oakland, Califórnia, considerou a NSO culpada por hacking e quebra de contrato, segundo a agência Reuters. Agora, o processo avança para a fase de determinação de danos pela espionagem ilegal.

Reações à condenação

A condenação foi celebrada pelo WhatsApp e bem recebida por especialistas em segurança digital. Will Cathcart, presidente do WhatsApp, descreveu a decisão como um triunfo para a privacidade e destacou que empresas de espionagem não devem ter abrigo legal para suas ações ilegais.

"Levamos cinco anos apresentando nosso caso porque acreditamos firmemente que essas empresas não podem se esconder em imunidades para evitar as consequências de seus atos maliciosos", postou Cathcart em suas redes sociais. "Espionagem ilegal não será tolerada", acrescentou.

O impacto na indústria de espionagem

O pesquisador sênior do Citizen Lab, John Scott-Railton, que foi um dos primeiros a levantar a voz contra o uso do Pegasus, considerou o veredicto um marco para a indústria de espionagem. "Toda a indústria tem se esquivado sob o argumento de que não é responsável por como seus clientes utilizam suas ferramentas. Essa decisão deixa claro que o NSO Group é de fato responsável por violar diversas leis", disse.

Outros processos e escândalos

Além desse caso, o NSO Group enfrenta um processo por parte da Apple.

Escândalo em doses altas

Quando o WhatsApp acusou a NSO, a empresa alegou que não tinha controle direto sobre o uso de sua tecnologia, mas a Meta contestou essa afirmação, afirmando ter provas de que a NSO auxiliou na operação clandestina.

Entre 2018 e 2019, pessoas ligadas ao NSO supostamente criaram contas no WhatsApp, aceitando seus termos de uso, o que implicou na violação dessas regras e, consequentemente, das leis de crimes cibernéticos dos EUA.

A notoriedade do Pegasus

O Pegasus ganhou notoriedade em 2020 por sua ligação ao hack do celular de Jeff Bezos, fundador da Amazon, quando acredita-se que o malware tenha sido instalado via um vídeo enviado pelo WhatsApp.

Em 2021, o Forbidden Stories, uma ONG de Paris, e a Anistia Internacional revelaram a existência de uma lista com 50 mil números que poderiam ter sido alvos do spyware, incluindo o telefone de Hatice Cengiz, noiva do jornalista Jamal Khashoggi, que foi assassinado em 2018. No caso dela, o smartphone foi adicionado à lista apenas quatro dias após o assassinato.

A Anistia Internacional vinha denunciando o uso de Pegasus contra ativistas e jornalistas por pelo menos três anos. Um relatório do Citizen Lab de 2018 indicou o uso do programa em 45 países, incluindo o Brasil, acendendo alarmes sobre a privacidade digital em um mundo cada vez mais vigiado.