Financial Times

Pelo menos 100 jornalistas, ativistas pelos direitos humanos e dissidentes políticos tiveram seus smartphones atacados por programas de espionagem que exploram uma vulnerabilidade do serviço de mensagens WhatsApp, de acordo com a companhia, controlada pelo Facebook.

As vítimas do ataque, revelado inicialmente pelo jornal Financial Times em maio, foram contatadas pelo WhatsApp na terça-feira.

Os celulares delas foram invadidos por clientes do NSO Group, de Israel, que produz o software de espionagem Pegasus. A invasão acontece por meio de uma função de chamada por voz do WhatsApp. Quando instalado, o Pegasus está programado para assumir o controle de todas as funções de um telefone.

Ilustração no Financial Times para a revelação exclusiva de que empresa de Israel hackeou o WhatsApp - Reprodução

O WhatsApp disse ao Financial Times que abrirá um processo na Justiça dos Estados Unidos atribuindo a ação de hackers contra seu serviço ao NSO. “Esta é a primeira vez que um provedor de mensagens cifradas toma providências judiciais contra uma entidade privada que tenha executado esse tipo de ataque”, afirmou o WhatsApp.

Os alvos dos ataques por clientes do NSO incluíam políticos, figuras religiosas proeminentes, advogados e dirigentes de organizações humanitárias que combatem a corrupção e os abusos dos direitos humanos, bem como pessoas que enfrentaram tentativas de assassinato e ameaças de violência.

O WhatsApp afirmou que dedicou seis meses a investigar a violação de segurança, descobrindo que os atacantes haviam usado seu serviço a fim de tomar como alvo cerca de1,4 mil celulares, ao longo de um período de duas semanas, no segundo trimestre. Em maio, a empresa solicitou que seus 1,5 bilhão de usuários atualizassem seus apps, a fim de eliminar aquele ponto fraco.

O NSO afirma que o Pegasus é vendido apenas para agências policiais e serviços de inteligência, a fim de prevenir o crime e o terrorismo. Mas o WhatsApp, que trabalhou com o Citizen Lab da Universidade de Toronto para identificar as vítimas, disse que proporção considerável das vítimas eram pessoas da sociedade civil e afirmou que o software de espionagem exibe “um padrão inconfundível de abuso”.

“Há uma espécie de oeste selvagem, onde não existem regras, para esse tipo de ‘spyware’ e tecnologia de intrusão”, disse John Scott Railton, pesquisador sênior do Citizen Lab, que estuda sistemas de vigilância digital. “Se você equipa governos repressivos com o poder de bisbilhotar dessa maneira, é uma conclusão praticamente inevitável que eles abusarão dessa tecnologia”.

O WhatsApp trabalhou com o Citizen Lab a fim de contatar alguns dos ativistas dos direitos humanos e jornalistas que foram alvos de ataque, para lhes dizer que seus celulares podiam ter sido comprometidos por uma das entidades que empregam o software de espionagem do NSO e para ajudá-los a se defender no futuro.

O software de espionagem era transferido ao celular mesmo que o usuário não atendesse a um telefonema feito via WhatsApp. As chamadas perdidas muitas vezes eram excluídas dos registros de telefonemas, o que significa que os usuários não estavam cientes de que seus aparelhos haviam sido atacados.

Clientes usando o Pegasus podem ler todas as mensagens e e-mails armazenados em um smartphone infectado, ver as chamadas feitas e recebidas e ligar a câmera e microfone do aparelho a fim de gravar conversações.

A investigação pelo WhatsApp foi o primeiro vislumbre em larga escala de como os clientes do NSO usam e potencialmente abusam do software de espionagem que ela fornece.

A companhia informou a potenciais investidores alguns meses atrás que havia vendido o Pegasus a pelo menos 20 países da União Europeia e que metade de sua receita de US$ 251 milhões em 2018 veio de clientes no Oriente Médio.

O WhatsApp apelou por “forte fiscalização judicial das armas cibernéticas usadas nesse ataque, a fim de garantir que não sejam usadas para violar os direitos e liberdades que as pessoas merecem, onde quer que se encontrem neste mundo”.

O NSO declarou que respeita os direitos humanos inequivocamente e que conduz uma avaliação rigorosa do potencial de uso indevido de seus produtos pelos clientes, que inclui uma revisão do histórico de direitos humanos do país e de seus padrões de governança.

A companhia acredita que as afirmações referentes a uso indevido de seus produtos se baseiam em “informações errôneas”.

Desde uma aquisição alavancada bancada pela Novalpina Capital, de Londres, em fevereiro, a companhia avaliada em US$ 1 bilhão rejeitou críticas de que seus clientes abusam do software que ela desenvolve. Em maio, ela anunciou que introduziria novas reformas para prevenir abusos.

Mas David Kaye, que comandou um trabalho de pesquisa sobre liberdade de expressão na ONU, escreveu a Shalev Hulio, presidente-executivo do NSO, este mês dizendo que as novas diretrizes da empresa são inadequadas, especialmente no que se refere à investigação de abusos de direitos expostos por denunciantes.

“O histórico do NSO Group é preocupante”, disse Kaye ao Financial Times. “Para agravar ainda mais as coisas, suas atividades são opacas, e sujeitas a restrições governamentais mínimas, se alguma. Minha esperança é que revelações como essas encorajem os governos a tomar fortes medidas regulatórias.

Tradução de Paulo Migliacci