Um juiz federal na Califórnia concordou com o WhatsApp que o Grupo NSO, a empresa israelense de vigilância cibernética por trás do spyware Pegasus, invadiu seus sistemas enviando malware através de seus servidores para milhares de telefones de seus usuários. O WhatsApp e sua controladora, Meta, processou o Grupo NSO em 2019 e acusou-o de espalhar malware para 1.400 dispositivos móveis em 20 países com vigilância como objetivo. Eles revelaram que, naquela época, alguns dos telefones visados pertenciam a jornalistas, ativistas de direitos humanos, líderes femininas proeminentes e dissidentes políticos. O Washington Post relata que a juíza distrital Phyllis Hamilton concedeu a moção do WhatsApp para julgamento sumário contra a NSO e decidiu que ela violou a Lei de Fraude e Abuso de Computadores dos EUA (CFAA).
O Grupo NSO contestou as alegações nos “termos mais fortes possíveis” quando o processo foi aberto. Negou ter participado nos ataques e disse ao Engadget na altura que o seu único objectivo era “fornecer tecnologia a agências governamentais licenciadas de inteligência e aplicação da lei para as ajudar a combater o terrorismo e crimes graves”. A empresa argumentou que não deveria ser responsabilizada, pois apenas vende seus serviços para órgãos governamentais, que são quem determinam seus alvos. Em 2020, Meta intensificou seu processo e acusou a empresa de usar servidores baseados nos EUA para realizar seus ataques de spyware Pegasus.
O juiz Hamilton decidiu que o Grupo NSO violou o CFAA, porque a empresa parece reconhecer plenamente que o programa WhatsApp modificado que seus clientes usam para direcionar usuários que enviam mensagens através de servidores legítimos do WhatsApp. Essas mensagens permitem então que o spyware Pegasus seja instalado nos dispositivos dos usuários – os alvos nem precisam fazer nada, como pegar o telefone para atender uma ligação ou clicar em um link, para serem infectados. O tribunal também concluiu que o pedido de sanções do demandante deve ser concedido devido ao Grupo NSO “repetidamente (não conseguir) produzir descobertas relevantes”, a mais significativa das quais é o código-fonte do Pegasus.
O porta-voz do WhatsApp, Carl Woog, disse A postagem que a empresa acredita que esta é a primeira decisão judicial concordando que um grande fornecedor de spyware violou as leis de hackers dos EUA. “Estamos gratos pela decisão de hoje”, disse Woog à publicação. “A NSO não pode mais evitar a responsabilização por seus ataques ilegais ao WhatsApp, a jornalistas, ativistas de direitos humanos e à sociedade civil. Com esta decisão, as empresas de spyware devem ser informadas de que suas ações ilegais não serão toleradas”. Em sua decisão, a juíza Hamilton escreveu que sua ordem resolve todas as questões relativas à responsabilidade do Grupo NSO e que um julgamento só prosseguirá para determinar quanto a empresa deve pagar por danos.
