Em 6 de maio, o WhatsApp, pertencente à Meta, obteve uma vitória histórica na Justiça. O NSO Group, empresa israelense responsável pelo desenvolvimento do spyware Pegasus, foi condenado a pagar mais de US$ 167 milhões em indenizações. A decisão encerra uma batalha jurídica de mais de cinco anos, iniciada em 2019, quando o WhatsApp processou o NSO após identificar um ataque que comprometeu a segurança de mais de 1.400 usuários.
Como funcionou o ataque
Segundo o processo, o ataque foi realizado através de uma técnica chamada clique zero, que não exigia qualquer ação da vítima. O NSO criou um sistema, apelidado de “Servidor de Instalação do WhatsApp”, capaz de enviar mensagens maliciosas pela própria infraestrutura do aplicativo. Apenas com o número de telefone, os atacantes conseguiam que o dispositivo da vítima se conectasse a um servidor externo e instalasse o spyware Pegasus.
O vice-presidente de P&D do NSO, Tamir Gazneli, admitiu no julgamento que soluções de clique zero são “um marco significativo” para o Pegasus.
Atividades continuaram mesmo após o processo
Mesmo após a abertura da ação judicial, em novembro de 2019, o NSO continuou mirando usuários do WhatsApp. Durante o julgamento, Gazneli revelou que a empresa manteve em operação versões do ataque, chamadas de “Erised”, “Eden” e “Heaven”, até pelo menos maio de 2020. Coletivamente, essas operações eram conhecidas como “Hummingbird”.
NSO testou Pegasus em número dos EUA para o FBI
Outro destaque do julgamento foi a confirmação de que o NSO realizou um teste de seu spyware em um número de telefone americano. Apesar de alegar que o Pegasus não pode ser usado contra números com código +1, o advogado da empresa reconheceu que houve uma exceção, feita especificamente para uma demonstração ao FBI. Após o teste, a agência americana optou por não adotar a ferramenta.
Como o Pegasus é operado por clientes
O CEO do NSO, Yaron Shohat, explicou que os clientes do Pegasus não escolhem como o spyware irá atacar suas vítimas; o sistema automaticamente seleciona o vetor de ataque mais eficaz. Essa automação permite que os clientes se concentrem apenas na coleta da inteligência desejada.
Estrutura e localização da empresa
Shohat revelou que o NSO Group e sua controladora, Q Cyber, contam com 350 a 380 funcionários, sendo que cerca de 50 trabalham diretamente na Q Cyber. A sede do NSO em Herzliya, Israel, curiosamente divide o mesmo prédio com a Apple, frequentemente impactada pelos ataques do Pegasus contra usuários de iPhone.
Custos milionários para os governos
Durante o julgamento, veio à tona que o preço padrão para o acesso ao Pegasus, entre 2018 e 2020, foi de US$ 7 milhões para clientes europeus, com adicionais de até US$ 1 milhão por recursos extras, como “vetores ocultos”, provavelmente referindo-se a técnicas furtivas como exploits de clique zero.
Outros clientes, como a Arábia Saudita e o México, chegaram a pagar US$ 55 milhões e US$ 61 milhões, respectivamente, ao longo de vários anos.
Situação financeira crítica do NSO
O NSO Group enfrenta sérias dificuldades financeiras. Em depoimento, Shohat revelou que a empresa perdeu US$ 9 milhões em 2023 e US$ 12 milhões em 2024, com apenas US$ 5,1 milhões em caixa atualmente. A empresa gasta cerca de US$ 10 milhões por mês, principalmente com salários.
Além disso, a unidade de pesquisa e desenvolvimento do NSO gastou US$ 52 milhões em 2023 e US$ 59 milhões em 2024 para manter e aprimorar suas operações, como a busca por novas vulnerabilidades em softwares.
Apesar de cobrarem de US$ 3 milhões até dez vezes mais por acesso ao Pegasus, o NSO afirmou no julgamento que dificilmente terá condições de pagar a indenização determinada. “Estamos com dificuldades para nos manter à tona”, admitiu Shohat.
A decisão reforça o crescente escrutínio internacional sobre empresas desenvolvedoras de spyware e suas práticas, ao mesmo tempo em que destaca a importância de medidas rigorosas de segurança digital em plataformas de comunicação como o WhatsApp.
