A Comissão Federal de Comércio dos Estados Unidos (FTC) rejeitou nesta semana o pedido de Scott Zuckerman para cancelar o banimento vitalício que o impede de operar no setor de software de vigilância doméstica, conhecido como stalkerware. O fundador da Support King, empresa-mãe dos aplicativos SpyFone e OneClickMonitor, argumentou que as exigências de segurança impostas pela agência reguladora estavam prejudicando seus novos negócios, incluindo um restaurante e empreendimentos turísticos em Porto Rico. A FTC manteve a decisão original de 2021, que proíbe Zuckerman de "oferecer, promover, vender ou anunciar qualquer aplicativo, serviço ou negócio de vigilância".
O banimento histórico foi consequência direta de um massivo vazamento de dados em 2018, quando um pesquisador de segurança descobriu um servidor da Amazon S3 da SpyFone exposto publicamente na internet. O repositório continha informações extremamente sensíveis de milhares de vítimas: 44.109 endereços de email únicos, além de selfies, mensagens de texto, gravações de áudio, localizações e senhas de 3.666 dispositivos monitorados. "O stalkerware estava escondido dos donos dos dispositivos, mas totalmente exposto a hackers que exploraram a segurança negligente da empresa", declarou Samuel Levine, então diretor interino do Escritório de Proteção ao Consumidor da FTC.
Menos de um ano após a ordem de 2021, investigações do TechCrunch revelaram que Zuckerman aparentemente violou o banimento ao operar a SpyTrac através de desenvolvedores freelancers com ligações diretas com a Support King. Os dados vazados da nova empresa incluíam registros da SpyFone - que deveriam ter sido deletados por ordem judicial - e chaves de acesso ao armazenamento em nuvem do OneClickMonitor. "O Sr. Zuckerman claramente esperava que, se ficasse quieto por alguns anos, todos esqueceriam os motivos do banimento", analisou Eva Galperin, diretora de cibersegurança da Electronic Frontier Foundation.
As implicações do caso vão além do destino individual de Zuckerman. Nos últimos oito anos, pelo menos 26 empresas de stalkerware sofreram violações de dados ou expuseram informações sensíveis online, segundo levantamento do TechCrunch. Esses incidentes repetidos demonstram um padrão preocupante: empresas que lucram com vigilância íntima frequentemente falham em proteger tanto a privacidade de seus clientes quanto das pessoas que são espionadas através de seus aplicativos.
O setor de stalkerware opera em uma zona cinzenta legal, onde aplicativos comercializados para "monitoramento parental" ou "proteção de relacionamentos" são frequentemente usados para assédio sistemático e violação de privacidade. A decisão da FTC de manter o banimento de Zuckerman estabelece um precedente importante para responsabilização pessoal de executivos nesse setor, indo além de multas corporativas.
Em conclusão, a rejeição definitiva da FTC ao pedido de Zuckerman representa um marco na regulação da indústria de vigilância digital, enviando uma mensagem clara sobre as consequências para empresários que repetidamente violam a privacidade dos usuários. O caso expõe as falhas sistêmicas de segurança que permeiam o setor de stalkerware e reforça a necessidade de maior escrutínio regulatório sobre tecnologias que facilitam o monitoramento não consensual. Num contexto mais amplo, esta decisão judicial fortalece o argumento de que a responsabilidade por violações de dados deve recair não apenas sobre empresas, mas também sobre indivíduos que deliberadamente ignoram padrões básicos de segurança e privacidade.
