Pesquisadores de segurança confirmaram que um político europeu teve seu telefone hackeado com o spyware Pegasus enquanto servia em um comitê de investigação sobre abusos da notória ferramenta de vigilância. Isso reacendeu a controvérsia sobre governos que abusam de spyware para coletar informações sobre seus críticos.

Os pesquisadores da unidade de direitos digitais da Universidade de Toronto, The Citizen Lab, afirmam que a confirmação do hackeamento do telefone do jornalista grego e ex-político Stelios Kouloglou durante 2022 e 2023 marca a primeira vez que um membro do comitê PEGA do Parlamento Europeu, encarregado de investigar ataques de spyware por governos europeus, foi publicamente identificado como vítima de spyware.

Kouloglou disse ao TechCrunch em uma ligação que o comprometimento deliberado de seu telefone foi "imprudente". Um legislador europeu em exercício descreveu o hackeamento do telefone de Kouloglou como um "ataque direto ao estado de direito" e pediu que a Comissão Europeia tomasse medidas concretas, impondo limites rigorosos ao uso de spyware em todo o bloco de 27 estados-membros.

Embora ataques de spyware a legisladores sejam raros, o momento e o alvo de um investigador do comitê através do próprio spyware sob sua investigação sugerem um foco intenso nos trabalhos internos do comitê antes de um relatório amplamente aguardado detalhando suas conclusões. Os hacks abrem novas questões sobre como os governos usam spyware ostensivamente necessário para identificar crimes graves, mas depois são pegos espionando as comunicações de jornalistas, legisladores e críticos.

Os pesquisadores do Citizen Lab não atribuíram o hackeamento do telefone a um país específico, mas disseram que o cliente governamental usou o mesmo endereço de e-mail carregado com Pegasus que foi usado em uma campanha anterior que hackeou telefones de jornalistas em toda a Europa. A identidade do cliente não é conhecida, mas a reutilização do mesmo endereço de e-mail de ataque implica que o cliente tinha autorização do NSO Group para usar seu spyware Pegasus para bisbilhotar telefones em vários países da Europa.

Um porta-voz da Comissão Europeia não respondeu ao pedido de comentário do TechCrunch. O NSO Group também não respondeu a um pedido de comentário sobre o relatório do Citizen Lab antes da publicação.

Em seu relatório divulgado na sexta-feira, o Citizen Lab disse que Kouloglou foi hackeado em outubro de 2022 e pelo menos duas vezes durante março de 2023 usando um exploit que comprometia uma vulnerabilidade de segurança no software do iPhone da Apple. Essa vulnerabilidade havia sido corrigida, mas a correção ainda não estava instalada no telefone de Kouloglou. O exploit era um bug "zero-click", o que significa que o spyware invadiu e roubou seus dados sem precisar de nenhuma interação de sua parte.

O bug abusou de uma falha descoberta anteriormente no software de casa inteligente da Apple usado em iPhones. Ele permitiu que o spyware pegasse dados privados do telefone de Kouloglou sem seu conhecimento, como suas mensagens de texto e outras correspondências, dados de localização e fotos.

O momento do hack de outubro de 2022 coincide com discussões intensas por e-mail e mensagem de texto ao longo de outubro e novembro de 2022, antes da entrega de um primeiro rascunho descrevendo abusos de spyware com foco em Chipre, Grécia, Hungria, Polônia e Espanha.

O hack também coincide exatamente com o momento em que Kouloglou estava no hospital para uma cirurgia pré-agendada, o que pode ter permitido que os operadores do spyware ouvissem áudio ambiente discutindo seus cuidados de saúde ou outras conversas que ele teve com visitantes na época.

Meses depois, em 6 e 7 de março, o Citizen Lab disse que o telefone de Kouloglou foi hackeado novamente pelo mesmo operador do Pegasus enquanto Kouloglou viajava de Atenas para Bruxelas, durante um período de audiências do comitê e meses antes de o comitê finalizar e adotar seu relatório escrito.

Em uma ligação, Kouloglou disse ao TechCrunch que não sabia por que foi especificamente alvejado, mas que acredita que foi devido ao seu trabalho no comitê do Parlamento Europeu que investiga abusos do Pegasus.

Ele descreveu raiva quando soube que havia sido hackeado.