A disputa legal entre a Meta, detentora do WhatsApp, e a NSO Group, empresa israelita responsável pelo desenvolvimento do software de espionagem Pegasus, entrou esta semana na sua fase final. O processo, iniciado em 2019, acusa a NSO de ter explorado vulnerabilidades no WhatsApp para instalar o Pegasus e espiar altas figuras governamentais, diplomatas, jornalistas e ativistas em cerca de 20 países.
O veredicto sobre a indemnização
Um tribunal nos Estados Unidos já considerou a NSO Group culpada pelas violações de segurança. A fase atual do julgamento, que decorre em Oakland, na Califórnia, tem como objetivo principal definir o montante da indemnização que a empresa israelita terá de pagar à Meta. A gigante tecnológica norte-americana exige um valor superior a 440 mil dólares (aproximadamente 410 mil euros) a título de danos compensatórios, valor que reflete os custos incorridos na investigação e na resolução da falha de segurança explorada pelo ataque. Além disso, a Meta pede indemnizações punitivas por violações contratuais e de leis de cibersegurança. O veredicto sobre estes valores é aguardado.
A mecânica do ataque via WhatsApp
De acordo com a Meta, o ataque foi sofisticado e explorou diretamente os servidores do WhatsApp para infetar mais de 1.400 dispositivos móveis (iPhone e Android) de forma remota. Entre as vítimas identificadas estavam militares, ativistas, jornalistas, diplomatas e até funcionários do Departamento de Estado norte-americano, espalhados pelos cinco continentes.
Uma vez ativo no dispositivo, o Pegasus concedia aos atacantes um controlo quase total, permitindo:
- Copiar mensagens trocadas.
- Rastrear a localização do utilizador.
- Gravar chamadas telefónicas.
- Ativar remotamente o microfone e a câmara do telemóvel.
Tudo isto ocorria sem qualquer indicação visível para o utilizador. A Meta alega ainda que, para facilitar a disseminação do malware, a NSO criou contas falsas no WhatsApp entre 2018 e 2019, utilizando números de telefone registados em países como Israel, Indonésia, Suécia, Holanda e Brasil.
Argumentos em confronto no tribunal
Durante o julgamento, a Meta enfatizou que a utilização do Pegasus através da sua plataforma representou uma ameaça direta à segurança e privacidade dos seus utilizadores, um pilar fundamental da empresa. A companhia detalhou que foi necessário mobilizar a sua equipa técnica durante 12 dias para investigar a vulnerabilidade, corrigir a falha e disponibilizar uma atualização de segurança urgente aos utilizadores.
Em sua defesa, a NSO Group argumenta que o WhatsApp não sofreu danos materiais relevantes e que o spyware permaneceu nos servidores da Meta apenas por "frações de segundo". A empresa israelita sustenta também que o Pegasus possui bloqueios regionais que impediriam a sua utilização contra números de telefone dos EUA. Num contra-ataque, a NSO acusa a Meta de ter mantido deliberadamente o software ativo nos seus sistemas para tentar analisar o seu código e roubar segredos comerciais.
Contexto do caso Pegasus e NSO Group
O caso remonta a 2019, quando o WhatsApp detetou e denunciou a falha de segurança explorada pelo Pegasus, que permitiu a infeção de centenas de telemóveis entre 29 de abril e 10 de maio desse ano. A NSO Group comercializa o Pegasus alegando que se destina exclusivamente a governos e agências de inteligência para combate ao crime e terrorismo. Contudo, diversas investigações independentes revelaram que a ferramenta foi frequentemente utilizada para vigiar dissidentes políticos, jornalistas e ativistas de direitos humanos.
Estas revelações levaram a que, em 2021, o Departamento de Comércio dos EUA incluísse a NSO Group na sua "lista de entidades", restringindo negócios com a empresa por considerar que as suas atividades representam um risco para a segurança nacional norte-americana. Desde então, a NSO enfrenta crescentes sanções e escrutínio internacional. O resultado deste julgamento poderá ter implicações significativas não só para a NSO, mas para toda a indústria de software de vigilância.
Nenhum comentário
Seja o primeiro!