São Paulo — InkDesign News — Um júri na Califórnia concedeu à WhatsApp, propriedade da Meta, US$ 168 milhões em danos punitivos e compensatórios em um processo contra a NSO Group, uma empresa conhecida por desenvolver ferramentas de spyware, incluindo o infame Pegasus.
Vetor de ataque
No cerne do processo está a alegação de que a NSO Group explorou vulnerabilidades no WhatsApp, permitindo a infecção de mais de 1.400 contas com seu spyware. Entre os métodos utilizados, foram mencionados três vetores de entrega chamados Eden, Heaven e ERISED, que faziam parte de uma operação mais ampla conhecida como Hummingbird. Essa prática reflete um uso agressivo de zero-days para comprometer dispositivos e coletar informações sem o consentimento dos usuários.
Impacto e resposta
Embora o veredicto represente uma vitória legal significativa, especialistas como Jen Roberts, da Atlantic Council, apontam que Meta pode enfrentar dificuldades para impor o pagamento. Durante o processo, a NSO Group continuou a atacar o WhatsApp, indicando que o serviço pode permanecer vulnerável. Como indicado por Silvia Lorenzo Perez, diretora de programa do CDT, “isso levanta questões fundamentais sobre se tal spyware pode ser legalmente implantado em uma sociedade democrática que defende o estado de direito” (“this raises fundamental questions about whether such spyware can ever be lawfully deployed in a democratic society that upholds the rule of law”).
Análise e recomendações
As implicações deste veredicto se estendem por toda a indústria de spyware. Apesar das sanções e da crescente pressão legal, a demanda por capacidades de vigilância continua forte entre governos, gerando preocupações sobre a perpetuação de táticas invasivas. Para a defesa cibernética, é crucial manter um foco nas falhas exploradas, utilizando práticas de mitigação regulares, incluindo a patchação de CVEs relevantes e a educação contínua dos usuários sobre segurança digital.
À medida que novos detalhes emergem do caso, a natureza da vigilância digital e a sua regulamentação desta área continuam a ser questões prementes para legisladores e empresas de tecnologia.
Fonte: (Dark Reading – Segurança Cibernética)
