Ataque de Spyware do WhatsApp – NSO Group Multado em $168M

Em uma decisão histórica, um júri federal dos EUA na Califórnia ordenou na terça-feira que a empresa israelense de spyware NSO Group pagasse quase $168 milhões em danos punitivos à Meta Platforms Inc., a empresa-mãe do WhatsApp.

Além disso, a empresa também terá que pagar $444.719 em danos compensatórios à Meta pelos esforços significativos que seus engenheiros do WhatsApp fizeram para bloquear os vetores de ataque.

Essa decisão decorre do uso do spyware Pegasus pelo NSO Group para invadir aproximadamente 1.400 usuários do WhatsApp ao longo de duas semanas entre abril e maio de 2019. Essa decisão estabelece um importante precedente para responsabilizar os desenvolvedores de spyware por atividades de vigilância não autorizadas.

“O veredicto de hoje no caso do WhatsApp é um passo importante para a privacidade e segurança, sendo a primeira vitória contra o desenvolvimento e uso de spyware ilegal que ameaça a segurança e a privacidade de todos”, disse a Meta em um comunicado após o anúncio da decisão.

“Hoje, a decisão do júri de forçar a NSO, um notório comerciante de spyware estrangeiro, a pagar danos é um importante fator de dissuasão para essa indústria maliciosa contra seus atos ilegais direcionados a empresas americanas e à privacidade e segurança das pessoas que servimos.”

Contexto do Caso

O processo, iniciado pelo WhatsApp em 29 de outubro de 2019, no Tribunal Distrital do Norte da Califórnia, acusou o NSO Group de explorar uma vulnerabilidade no recurso de chamadas de vídeo do WhatsApp para instalar o spyware Pegasus nos dispositivos dos usuários sem o seu conhecimento. Os alvos incluíam ativistas de direitos humanos, jornalistas, diplomatas e defensores da sociedade civil.

De acordo com os documentos do tribunal (PDF), o spyware Pegasus da NSO foi instalado através de uma chamada do WhatsApp que não exigia nem mesmo que o destinatário atendesse. Assim que a chamada era realizada, o código malicioso se implantava, concedendo acesso a uma ampla gama de dados pessoais, incluindo chamadas telefônicas, e-mails, mensagens privadas criptografadas, imagens, geolocalização e outros dados sensíveis — tudo sem o conhecimento do usuário.

Em dezembro de 2024, a juíza distrital dos EUA Phyllis Hamilton considerou o NSO Group culpado de violar a Lei de Fraude e Abuso de Computadores dos EUA (CFAA) e a Lei de Acesso e Fraude de Dados de Computador da Califórnia (CDAFA). Também foi constatado que as ações da NSO violaram os termos de serviço do WhatsApp ao acessar seus servidores sem autorização para implantar spyware.

Resposta do NSO Group

Após sua derrota no tribunal, o NSO Group declarou que planeja apelar da decisão, mantendo que seu software Pegasus é destinado ao uso por governos autorizados para combater crimes e operações antiterrorismo em todo o mundo.

“Vamos examinar cuidadosamente os detalhes do veredicto e buscar os recursos legais apropriados, incluindo novos processos e um apelo”, acrescentou Lainer, afirmando que a empresa “continua totalmente comprometida com sua missão de desenvolver tecnologias que protejam a segurança pública” enquanto trabalha dentro das legalidades.

Enquanto isso, a Meta decidiu doar a organizações de direitos digitais que estão trabalhando para defender as pessoas contra tais ataques em todo o mundo.

“Nosso próximo passo é garantir uma ordem judicial para impedir que a NSO volte a atacar o WhatsApp”, concluiu a empresa.