Vazamento de lista de pessoas de interesse de clientes da NSO expõe indústria da insegurança
28 de julho de 2021A imprensa de todo o mundo tem falado nos últimos dias sobre o vazamento de números de telefone de mais de cinquenta mil indivíduos que faziam parte da lista de pessoas de interesse dos clientes da empresa israelense NSO Group, os quais poderiam estar sendo espionados por meio do seu principal produto, o malware Pegasus.
Por Carlos Cabral
As primeiras reportagens foram seguidas de uma análise forense sobre o Pegasus, produzida pela Anistia Internacional, e por diversas outras matérias que abordavam detalhes a respeito dos indivíduos que possivelmente foram alvos dos ataques.
Não é possível determinar que todos os telefones ligados ao vazamento foram hackeados. Entretanto, a lista conta com jornalistas, ativistas, chefes de Estado, diplomatas, políticos e líderes religiosos, dentre outros, o que acabou criando um nível de exposição a respeito do caso semelhante ao que vimos à época dos vazamentos dos programas da NSA, disponibilizados por Edward Snowden.
Segundo apuração do The Guardian, a ideia original do que viria a ser a NSO nasceu do desejo dos atuais sócios da empresa, Shalev Hulio e Omri Lavie, de oferecer uma plataforma para que as operadoras de telefonia pudessem executar suporte remoto a dispositivos móveis, algo que, se desse certo, poderia resultar em comodidade às operadoras, mas teria a chance de causar relevante falha de segurança aos seus clientes, pois imaginem uma operadora com acesso root em todos os aparelhos para os quais oferece serviço. Seria o único ponto de falha.
Havia também a necessidade de enfrentar protocolos de criptografia de certos serviços, como o Signal, por exemplo e outros bloqueios que hoje estão presentes nos celulares, de modo que a situação demandava que Hulio e Lavie encontrassem uma pessoa com background em segurança, espaço posteriormente ocupado por Niv Carmi, o qual já tinha em sua ficha os serviços prestados à agência de inteligência israelense, a Mossad.
Foi Niv Carmi que chamou a atenção de Lavie e Hulio para o fato de que oferecer uma plataforma de suporte aos moldes da ideia original não seria um produto atraente, o negócio teria mais sucesso se o produto tivesse a função de hackear os dispositivos de pessoas de interesse de forças de segurança e vender o acesso aos devices hackeados aos governos.
Assim, no final de 2009, foi formada a NSO: “N” de Niv Carmi, “S” de Shalev Hulio e “O” de Omri Lavie e o malware Pegasus foi criado.
O negócio se tornou multimilionário sob o atrativo discurso de que o Pegasus teria sido criado para caçar pedófilos e terroristas. No entanto, os maiores clientes do produto são países com histórico de operarem sobre premissas autoritárias ou com forte ligação com o crime organizado tais como a Arábia Saudita, Emirados Árabes Unidos, Hungria e México os quais frequentemente usam o Pegasus para espionar e perseguir opositores ou qualquer pessoa que atrapalhe seus negócios.
No Brasil, foi documentada a tentativa de vender o Pegasus ao governo federal, tendo o vereador do Rio de Janeiro, Carlos Bolsonaro, operando como intermediador na negociação do malware.
Antes disso, segundo apuração do UOL, os procuradores da Lava Jato já tinham manifestado interesse na aquisição do produto.
Ambas as aproximações supostamente não foram à frente. No caso da iniciativa de Carlos Bolsonaro, havia uma indisposição entre os militares em armazenar dados de inteligência fora do Brasil, já as conversas dos procuradores da Lava Jato sobre o malware acabaram sendo extintas junto com a força tarefa.
Dois episódios trágicos do uso dessa tecnologia são o assassinato do jornalista saudita Jamal Khashoggi, morto e esquartejado em 2018 por ordem do príncipe da Arábia Saudita, Mohammed bin Salman, conforme investigação do governo americano, e do seu colega de profissão, o mexicano Cecilio Pineda Birto que denunciava a existência de esquemas de corrupção entre autoridades e fações do crime organizado no sul do México.
Dentre os diversos problemas inerentes ao uso desse tipo de ameaça, sobretudo à privacidade, talvez o mais relevante esteja em seu processo de venda, o qual não distingue clientes entre o poder executivo dos países, governos regionais e forças de segurança, defesa e inteligência. Desta forma, o malware pode ser vendido tanto ao poder executivo quanto a polícias estaduais e outras agências.
Sem controle, produtos como o Pegasus facilmente se convertem em uma plataforma destinada a favorecer os interesses de quem controla as diversas instâncias do poder, sendo usados em uma condição na qual todos poderiam espionar todos enquanto quem desenvolve o malware pode acumular e correlacionar os dados de toda a base de clientes. Trata-se de um negócio que promove insegurança não somente no âmbito tecnológico, mas também ameaça a estabilidade política, sobretudo em democracias frágeis.
Ao falar à Forbes sobre esse vazamento e sobre o Pegasus, o CEO da NSO, Shalev Hulio afirmou que se você não é um criminoso, não há o que temer.