O WhatsApp ganhou um processo de espionagem de US$ 168 milhões (R$ 964 milhões) contra o Grupo NSO, fabricante israelense do software espião Pegasus, por este explorar uma fraqueza na plataforma de mensagens criptografadas para vigiar jornalistas, ativistas e adversários políticos.
O caso em um tribunal federal da Califórnia é a primeira vez que um fabricante de spyware foi responsabilizado por violar a plataformas que operam em smartphones modernos. Isso ameaça uma indústria emergente baseada na transformação de pequenas vulnerabilidades em enormes lucros.
“A decisão do júri de forçar a NSO a pagar indenizações é um impedimento crítico para esta indústria maliciosa contra seus atos ilegais direcionados a empresas americanas”, disse a Meta, empresa controladora do WhatsApp, em um comunicado.
A NSO disse que vai recorrer. “Acreditamos firmemente que nossa tecnologia desempenha um papel crítico na prevenção de crimes graves e terrorismo e é implantada de forma responsável por agências governamentais autorizadas”, afirmou em comunicado.
O sucesso do WhatsApp no caso expõe a NSO a litígios da Apple, Amazon, Android e outras empresas globais cujas plataformas o Pegasus abusou, ou tentou hackear, para injetar seu spyware.
Executivos da NSO disseram ao júri que a empresa gastava US$ 50 milhões (R$ 287 milhões) a US$ 60 milhões (R$ 344 milhões) por ano para desenvolver novos meios de injetar spyware. Estes têm como alvo todo tipo de plataformas onipresentes, incluindo as versões mais recentes do iOS da Apple e telefones Android.
O WhatsApp disse que “estava longe de ser o único alvo da NSO” e que “essas tecnologias maliciosas são uma ameaça para todo o ecossistema”.
“Depois de anos de todos os truques e táticas de atraso, o júri precisou apenas de um dia de deliberação para ver claramente o cerne da questão: o negócio da NSO é baseado em hackear empresas americanas… para que ditadores possam hackear dissidentes”, disse John Scott-Railton do Citizen Lab da Universidade de Toronto, um grupo de vigilância que ajudou o WhatsApp a investigar o hack e proteger os alvos da sociedade civil.
As maiores empresas de tecnologia do mundo apoiaram o processo do WhatsApp, apresentando documentos legais em apoio.
O Pegasus foi considerado pioneiro em uma indústria que floresceu —principalmente dentro de Israel— por quase uma década. Ele comercializou fraquezas em softwares populares, permitindo que clientes penetrassem na privacidade de smartphones em qualquer lugar do mundo —contornando a criptografia e até mesmo ativando remotamente microfones e câmeras de dispositivos móveis para capturar conversas privadas.
A NSO inicialmente operava nas sombras, composta por veteranos das unidades de inteligência de sinais do exército israelense, que recebiam centenas de milhares de dólares por ano para criar software que imitava as capacidades técnicas do exército de Israel.
Foi avaliada em mais de US$ 1 bilhão (R$ 5,7 bilhões) em uma aquisição de private equity em 2019, e relatou US$ 251 milhões (R$ 1,4 bilhão) em receitas em 2018.
A venda do Pegasus era considerada um cartão de visita diplomático para abrir relações entre Israel e seus rivais do Golfo, com a NSO assinando acordos impressionantes com países que tinham um histórico de abusos de direitos humanos, incluindo Arábia Saudita e Emirados Árabes Unidos, que não reconheciam Israel na época, e outros como Ruanda e México.
Em 2019, o Financial Times relatou que a NSO estava explorando uma fraqueza no WhatsApp que permitia que seus clientes fizessem uma única chamada perdida para o telefone de um alvo, que então instalaria o spyware —permitindo que o dispositivo fosse operado remotamente, excluindo a chamada telefônica e expondo todo o seu conteúdo, desde fotos até histórico de localização e mensagens criptografadas no Signal ou outros aplicativos.
O WhatsApp corrigiu imediatamente o vazamento, mas também estudou os rastros que o Pegasus deixou, finalmente identificando centenas de alvos que foram notificados sobre o hack, incluindo pelo menos 100 pessoas consideradas membros da sociedade civil —advogados de direitos humanos, defensores da liberdade de imprensa e políticos de oposição proeminentes.
Antes que este banco de dados fosse gerado pelo WhatsApp, que trabalhou com o Citizen Lab, a NSO argumentava que seu software estava sendo vendido para clientes responsáveis, que estavam contratualmente obrigados a usá-lo apenas para prevenir crimes e terrorismo, e que qualquer abuso era raro.
“Então o WhatsApp apareceu e foi como se o valentão do playground de repente encontrasse seu adversário à altura”, disse Scott-Railton. “O WhatsApp manteve a luta e levou este caso até a linha de chegada… um enorme crédito para sua liderança por carregar esta tocha”.
Mas a extensão do abuso revelada na investigação colocou o foco na NSO e seus rivais, atraindo a atenção de consórcios de mídia e da administração Biden, que colocou a NSO na lista negra e buscou regular a indústria de spyware.
A empresa controlada pela Meta também decidiu processar a NSO, prometendo tornar público tudo o que seus advogados descobriram sobre o funcionamento interno da empresa, enquanto buscava responsabilizá-la pelo hack.
O julgamento do júri foi focado exclusivamente em danos. Um juiz decidiu em dezembro que a NSO violou leis de hacking e os termos de seu acordo de serviço com o WhatsApp.
