O Grupo NSO, conhecido pelo seu software “Pegasus” de monitoramento de smartphones e roubo de informações, violou a privacidade de pelo menos 32 mil indivíduos em países como Ruanda, Israel, Bahrein, Arábia Saudita e Emirados Árabes, segundo várias entidades e pesquisadores de segurança.

De acordo com as informações divulgadas, o Grupo NSO apresentou em abril deste ano um novo software chamado “Fleming” que, de acordo com a empresa, permite monitorar o avanço da Covid-19 em comunidades e cidades de interesse. A ideia do Fleming é alimentar-se de dados de localização de smartphones para visualizar a movimentação de pessoas infectadas com o novo coronavírus (Sars-Cov-2). O grupo afirma que isso “ajuda governos a tomarem decisões de saúde pública sem comprometer a privacidade individual”.

publicidade
spyware
Um dos softwares mais conhecidos do Grupo NSO é o spyware “Pegasus”, que permite que governos monitorem as comunicações de smartphones infectados. Imagem: Shawn Hill/Shutterstock

Em maio, porém, um pesquisador de segurança disse ao site Techcrunch que encontrou uma base de dados exposta – ou seja, sem proteção ou mesmo senha – que armazenava milhares de pontos de dados usados pelo Grupo NSO para a demonstração anterior. O site, por sua vez, relatou a falha à empresa, que prontamente reforçou a segurança da base de dados, mas disse que as informações nela contidas não eram dados reais.

Entretanto, apesar da informação do grupo, fontes da mídia israelense afirmaram que os dados encontrados foram adquiridos pela empresa, que os comprou de plataformas de publicidade digital (“data brokers”) para treinar o software. A pedido do Techcrunch e outras mídias, então, os especialistas da Forensic Architecture, uma divisão que investiga abusos de direitos humanos pela Universidade de Londres, analisou o material e concluiu que as informações eram baseadas em dados de pessoas reais.

Os pesquisadores da Forensic analisaram uma amostra dos dados expostos, procurando por padrões comparáveis a modelos baseados em dados de pessoas reais, tais como a concentração de dispositivos em grandes centros e o tempo levado para que esses dispositivos viajassem de um ponto a outro.

Fleming Grupo NSO
Captura de tela do “Fleming”, software da NSO que monitora o avanço da Covid-19 por dados de localização de smartphones. Imagem: Techcrunch/Reprodução

“As ‘irregularidades’ espaciais na amostra — uma assinatura comum de rastros móveis reais — corroboram nossa conclusão de que estas são informações reais”, disseram os pesquisadores. “Por isso, essa base de dados muito provavelmente não é um ‘dummy’ [nome dado a informações ‘de mentira’] nem informação gerada por computador, mas sim um reflexo dos movimentos de pessoas de verdade, possivelmente adquirida de operadoras de telecomunicações ou outra fonte terceirizada”.

“Irregularidades espaciais” são pequenos padrões de movimento geralmente associados com informações reais e concretas, como por exemplo gráficos em formato de estrela que denunciam a tentativa de um satélite triangular a posição de um smartphone em meio a prédios muito altos.

Outro pesquisador ouvido pelo Techcrunch, Gary Miller, fundador da Exigent Media, também concluiu que os dados usados pelo Grupo NSO eram de pessoas reais: “Se você pegar um pedaço de uma localização de um smartphone a qualquer hora do dia, vai encontrar consistência com o número de pontos identificados em áreas suburbanas versus áreas urbanas”, ele disse.

whatsapp Grupo NSO
O WhatsApp está processando o Grupo NSO por ele ter se aproveitado de uma vulnerabilidade do app para invadir smartphones de várias pessoas há alguns anos. Imagem: Ascannio/Shutterstock

O Grupo NSO negou as acusações dizendo que o material apresentado não possui nenhum tipo de identificador pessoal de indivíduos. “Nós não vimos essa suposta avaliação e temos que questionar como tais conclusões foram obtidas. De qualquer forma, nós mantemos nosso posicionamento anterior: o material demonstrativo não teve base em dados reais e genuínos relacionados a indivíduos infectados com a Covid-19”, disse um porta-voz da empresa.

“Como nosso comunicado anterior informou, os dados usados para as demonstrações não continham identificadores pessoais. E, tal qual também comunicado anteriormente, essa demonstração se baseou em informações ofuscadas. O sistema Fleming é uma ferramenta que analisa informações oferecidas pelo usuário final para auxiliar os tomadores de decisões relacionadas à saúde durante a pandemia global. O Grupo NSO não coleta dados do sistema, nem tampouco tem acesso a informações coletadas”, completou.

Não é a primeira vez que o nome do grupo vem às manchetes mundiais por suposta espionagem e violação de privacidade: na última semana, uma falha dia zero do iMessage permitiu que hackers fizessem uso do software Pegasus, licenciado pela empresa, para invadir e roubar informações pessoais dos iPhones de mais de 30 jornalistas. Em 2018, o mesmo Pegasus foi usado pelo governo da Arábia Saudita – cliente do Grupo NSO – para rastrear as comunicações do jornalista e correspondente do Washington Post, Jamal Khashoggi – o jornalista acabou torturado e assassinado por suas críticas aos políticos sauditas em uma embaixada do país na Turquia.

Fonte: Techcrunch