O Times Insider explica quem somos e o que fazemos, e oferece uma visão dos bastidores sobre como nosso jornalismo funciona.
BEIRUTE, Líbano – No México, o governo invadiu os celulares de jornalistas e ativistas. A Arábia Saudita invadiu telefones de dissidentes em casa e no exterior, enviando alguns para a prisão. O governante de Dubai hackeado os telefones de sua ex-mulher e dos advogados dela.
Então, talvez eu não devesse ter ficado surpreso quando soube recentemente que eu também havia sido hackeado.
Ainda assim, a notícia foi enervante.
Como correspondente do New York Times que cobre o Oriente Médio, costumo falar com pessoas que correm grandes riscos para compartilhar informações que seus governantes autoritários desejam manter em segredo. Tomo muitos cuidados para proteger essas fontes porque, se forem apanhadas, podem acabar na prisão ou mortas.
Mas em um mundo onde armazenamos tanto de nossa vida pessoal e profissional nos dispositivos que carregamos em nossos bolsos, e onde o software de vigilância continua a se tornar cada vez mais sofisticado, estamos todos cada vez mais vulneráveis.
No final das contas, eu nem precisei clicar em um link para meu telefone ser infectado.
Para tentar determinar o que tinha acontecido, trabalhei com Citizen Lab, um instituto de pesquisa da Munk School of Global Affairs da Universidade de Toronto que estuda spyware.
Eu esperava descobrir quando fui hackeado, por quem e quais informações foram roubadas. Mas mesmo com a ajuda de detetives profissionais da Internet, as respostas eram elusivas.
O que a investigação descobriu foi que eu tive um desentendimento com a crescente indústria global de spyware, que vende ferramentas de vigilância para governos para ajudá-los a combater o crime e rastrear terroristas.
Mas as empresas que vendem essas ferramentas operam nas sombras, em um mercado que não é regulamentado, permitindo que os estados implantem a tecnologia como quiserem, inclusive contra ativistas e jornalistas.
Em 2018, fui alvo de uma mensagem de texto suspeita que o Citizen Lab determinou que provavelmente foi enviada pela Arábia Saudita usando um software chamado Pegasus. O desenvolvedor do software, o Grupo NSO, negou que seu software tenha sido usado.
Este ano, um membro da equipe de segurança de tecnologia do The Times encontrou outra tentativa de hacking de 2018 no meu telefone. O ataque veio por meio de uma mensagem do WhatsApp em árabe que me convidou pelo nome para um protesto na Embaixada da Arábia Saudita em Washington.
Bill Marczak, um membro sênior do Citizen Lab, disse que não havia nenhum sinal de que qualquer uma das tentativas tivesse sido bem-sucedida, já que eu não tinha clicado nos links dessas mensagens.
Mas ele também descobri que fui hackeado duas vezes, em 2020 e 2021, com os chamados exploits “zero-click”, que permitiam ao hacker entrar no meu telefone sem eu clicar em nenhum link. É como ser roubado por um fantasma.
No segundo caso, o Sr. Marczak disse, uma vez dentro do meu telefone, o invasor aparentemente excluiu vestígios do primeiro hack. Imagine um ladrão invadindo uma joalheria que havia roubado para apagar impressões digitais.
Especialistas em segurança de tecnologia me disseram que era quase impossível identificar definitivamente os culpados.
Mas, com base no código encontrado em meu telefone que se assemelha ao que ele viu em outros casos, o Sr. Marczak disse que tinha “grande confiança” de que Pegasus havia sido usado todas as quatro vezes.
Deixe-nos ajudá-lo a proteger sua vida digital
Nas duas tentativas em 2018, disse ele, parecia que a Arábia Saudita havia lançado os ataques porque eles vieram de servidores operados por uma operadora que anteriormente tinha como alvo vários ativistas sauditas.
Não estava claro qual país foi responsável pelos hacks de 2020 e 2021, mas ele observou que o segundo veio de uma conta que havia sido usado para hackear um ativista saudita.
Tenho escrito sobre a Arábia Saudita há anos e publiquei um livro no ano passado sobre o príncipe herdeiro Mohammed bin Salman, o governante de fato do reino, então a Arábia Saudita pode ter motivos para querer espiar dentro do meu telefone.
A NSO negou que seus produtos estivessem envolvidos nos hacks, escrevendo em um e-mail que “não era um alvo da Pegasus por nenhum dos clientes da NSO” e descartando as conclusões do Sr. Marczak como “especulação”.
A empresa disse que não tinha a tecnologia descrita nas tentativas de 2018, e que não poderia ter sido alvo em 2020 ou 2021 por “motivos e restrições técnicas e contratuais” que não explicou.
A Embaixada da Arábia Saudita em Washington não respondeu a um pedido de comentário.
A NSO não quis dizer mais nada oficialmente, mas The Times informou que a empresa cancelou seus contratos com a Arábia Saudita em 2018 depois que agentes sauditas mataram o escritor dissidente Jamal Khashoggi, apenas para retomar os negócios com o reino no ano seguinte, acrescentando restrições contratuais sobre o uso do software.
O NSO fechou o sistema saudita novamente este ano depois que o Citizen Lab descobriu que o governo havia usado Pegasus vai hackear telefones de 36 funcionários da rede de satélites árabe Al Jazeera.
Atribuir responsabilidade por um hack em particular é difícil, disse Winnona DeSombre, um membro do Atlantic Council que estuda spyware comercial, porque muitas empresas vendem produtos semelhantes ao Pegasus, muitos países os usam e o software é projetado para ser encoberto.
Ela comparou o processo de análise dos dados limitados deixados em dispositivos comprometidos com “homens cegos tocando o elefante”.
“Você não pode dizer sem sombra de dúvida”, disse ela.
Os rastros deixados no meu telefone não indicam há quanto tempo os hackers estão dentro ou o que eles levaram, embora possam ter roubado qualquer coisa: fotos, contatos, senhas e mensagens de texto. Eles também teriam sido capazes de ligar remotamente meu microfone e câmera para me espionar ou espionar.
Eles roubaram meus contatos para que pudessem prender minhas fontes? Vasculhe minhas mensagens para ver com quem eu falei? Trollar fotos da minha família na praia? Apenas os hackers sabiam.
Pelo que eu sei, nenhum dano ocorreu a nenhuma de minhas fontes por causa de informações que podem ter sido roubadas de meu telefone. Mas a incerteza foi suficiente para me fazer perder o sono.
No mês passado, a Apple consertou a vulnerabilidade que os hackers usaram para entrar no meu telefone este ano, após serem informados sobre isso pelo Citizen Lab. Mas outras vulnerabilidades podem permanecer.
Enquanto armazenamos nossas vidas em dispositivos que apresentam vulnerabilidades e as empresas de vigilância podem ganhar milhões de dólares vendendo maneiras de explorá-las, nossas defesas são limitadas, especialmente se um governo decidir que deseja nossos dados.
Agora, eu limite as informações que mantenho no meu telefone. Eu armazeno contatos confidenciais offline. Eu incentivo as pessoas a usarem o Signal, um aplicativo de mensagens criptografadas, de forma que, se um hacker conseguir entrar, não haverá muito o que encontrar.
Muitas empresas de spyware, incluindo a NSO, evitam a segmentação de números de telefone dos Estados Unidos, presumivelmente para evitar uma briga com Washington que poderia levar a um aumento da regulamentação, então eu uso um número de telefone americano.
Eu reinicializo meu telefone com freqüência, o que pode lançar (mas não impedir) alguns programas espiões. E, quando possível, recorro a uma das poucas opções intransponíveis que ainda temos: deixo meu telefone para trás e encontro as pessoas cara a cara.
Discussão sobre isso post