Um júri federal decidiu na terça-feira que o Grupo NSO deve pagar aproximadamente US$ 168 milhões em danos monetários ao WhatsApp, propriedade da Meta, mais de quatro meses após um juiz federal ter decidido que a empresa israelense violou as leis dos EUA ao explorar os servidores do WhatsApp para implantar o spyware Pegasus, visando mais de 1.400 indivíduos globalmente.
O WhatsApp originalmente entrou com a ação contra o Grupo NSO em 2019, acusando-o de usar o Pegasus para mirar em jornalistas, ativistas dos direitos humanos e dissidentes políticos.
Documentos do tribunal divulgados como parte do julgamento revelaram que 456 mexicanos foram alvo durante a campanha, seguidos por 100 vítimas na Índia, 82 no Bahrein, 69 no Marrocos e 58 no Paquistão.
No total, indivíduos de 51 países diferentes foram alvo.
Os ataques exploraram uma vulnerabilidade zero-day no recurso de chamada de voz do WhatsApp na época (
CVE-2019-3568
, pontuação CVSS: 9.8) para disparar a implantação do spyware.
Em uma decisão emitida em dezembro de 2024, a juíza distrital dos Estados Unidos, Phyllis J.
Hamilton, observou que o Pegasus foi enviado através dos servidores do WhatsApp baseados na Califórnia 43 vezes durante o período relevante em maio de 2019.
"Nosso caso contra o desenvolvedor de spyware NSO fez história quando o tribunal descobriu que eles violaram as leis federais e estaduais dos Estados Unidos em dezembro", disse Will Cathcart, chefe do WhatsApp na Meta, em uma declaração no X.
E o veredito do júri hoje para punir o NSO é um forte desincentivo para a indústria de spyware contra seus atos ilegais direcionados a empresas americanas e nossos usuários em todo o mundo. Cathcart acrescentou que o próximo passo da empresa é garantir uma ordem judicial para impedir que o NSO volte a mirar no WhatsApp, acrescentando que fará uma doação a organizações de direitos digitais que estão trabalhando para defender as pessoas contra tais ataques em todo o mundo.
Além dos US$ 167.254.000 em danos punitivos, o júri determinou que o Grupo NSO deve pagar ao WhatsApp US$ 444.719 em danos compensatórios pelo significativo esforço que os engenheiros do WhatsApp fizeram para bloquear os vetores de ataque.
O desenvolvimento é uma grande vitória para defensores da privacidade e organizações de direitos humanos, que repetidamente apontaram o Grupo NSO por licenciar seu potente software de vigilância aos clientes para monitorar membros da sociedade civil.
Enquanto o Grupo NSO tentou se eximir de responsabilidade alegando que não tem visibilidade do que seus clientes fazem com o Pegasus, a juíza Hamilton apontou que ele não pode afirmar que "sua intenção é ajudar seus clientes a combater o terrorismo e a exploração infantil, e por outro lado dizer que não tem nada a ver com o que seu cliente faz com a tecnologia, além de aconselhamento e suporte."
"O NSO foi forçado a admitir que gasta dezenas de milhões de dólares anualmente para desenvolver métodos de instalação de malware, incluindo através de mensagens instantâneas, navegadores e sistemas operacionais, e que seu spyware é capaz de comprometer dispositivos iOS ou Android até hoje", disse a Meta.
Em uma declaração compartilhada com a Courthouse News e POLITICO, o Grupo NSO disse que sua tecnologia desempenha um papel crucial na prevenção de crimes graves e terrorismo, e que pretende buscar recursos legais apropriados.
A empresa foi sancionada pelo governo dos EUA em 2021 por se envolver em "atividades cibernéticas maliciosas".
A Apple, que entrou com uma ação semelhante contra o Grupo NSO, desistiu dela em setembro de 2024, dizendo que continuar poderia revelar detalhes sensíveis de seu programa de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...