São Paulo — InkDesign News — Um júri federal dos Estados Unidos ordenou que a empresa israelense NSO Group pague cerca de 168 milhões de dólares à WhatsApp e sua controladora Meta, após comprovar o uso da vulnerabilidade em 2019 para disseminar o spyware Pegasus em dispositivos de usuários da plataforma.
Incidente e vulnerabilidade
O episódio remonta a um processo iniciado em 2019, quando a WhatsApp apontou que o NSO Group explorou uma falha na funcionalidade de chamadas de vídeo da plataforma para instalar o Pegasus em aproximadamente 1.400 aparelhos. A vulnerabilidade permitia a execução remota do código malicioso via chamada que não precisava ser atendida pelo usuário, mecanismo que afetou jornalistas, ativistas de direitos humanos e diplomatas em vários países.
Documentos judiciais detalham que o Pegasus, implantado a partir de uma chamada WhatsApp, obtinha controle sobre mensagens privadas, chamadas, câmeras e microfones, permitindo uma invasão profunda e silenciosa do aparelho.
Impacto e resposta
O júri concedeu US$ 167,25 milhões em danos punitivos e pouco mais de US$ 440 mil em danos compensatórios, fortalecendo um precedente jurídico contra empresas de vigilância comercial. A Meta qualificou a decisão como um importante avanço para a proteção da privacidade digital.
“A decisão do júri de obrigar a NSO a pagar indenização é um impedimento crucial para essa indústria maliciosa contra seus atos ilegais direcionados a empresas americanas e nossos usuários globalmente.”
(“The jury’s decision to force NSO to pay damages is a critical deterrent to this malicious industry against their illegal acts aimed at American companies and our users worldwide.”)— Meta, em comunicado oficial
Por sua vez, o NSO Group negou irregularidades, afirmando que seus softwares são vendidos apenas a agências governamentais autorizadas para uso legítimo contra o crime e o terrorismo, anunciando que planeja recorrer da decisão.
“Acreditamos firmemente que nossa tecnologia desempenha um papel crítico na prevenção de crimes graves e terrorismo e é usada de forma responsável por agências governamentais autorizadas.”
(“We firmly believe that our technology plays a critical role in preventing serious crime and terrorism and is deployed responsibly by authorized government agencies.”)— Gil Lainer, Vice-presidente de Comunicação Global, NSO Group
Mitigações recomendadas
Especialistas em segurança sugerem que a aplicação rigorosa de patches fornecidos pelos fabricantes, monitoramento constante do tráfego de rede e uso de autenticação multifatorial são essenciais para reduzir riscos associados a explorações similares. Além disso, destaca-se a necessidade de maior fiscalização e regulamentação para produtos de vigilância comercial, especialmente aqueles usados sem supervisão legal.
Empresas devem reforçar processos de detecção e resposta a incidentes envolvendo exploits via comunicação digital, enquanto usuários são orientados a manter seus aplicativos atualizados e evitar aceitar chamadas de fontes desconhecidas.
Embora o caso represente um marco legal contra o uso indevido de ferramentas de espionagem, persiste o desafio de controlar a proliferação desses softwares e evitar abusos futuros.
Fonte: (Hack Read – Segurança Cibernética)
