O primeiro fabricante de spyware condenado em mais de uma década evitou a prisão após se declarar culpado de acusações federais nos EUA relacionadas à administração de sua empresa de vigilância.
Bryan Fleming foi condenado na sexta-feira, em um tribunal federal de San Diego, à pena já cumprida e a uma multa de US$ 5.000, confirmou um porta-voz do Procurador dos Estados Unidos para o Distrito Sul da Califórnia, cujo escritório apresentou as acusações contra Fleming.
Durante uma audiência de declaração de culpa em janeiro, após uma investigação federal de anos sobre sua empresa de spyware, a pcTattletale, Fleming admitiu ter fabricado, vendido e anunciado spyware para usos ilegais.
Os promotores haviam solicitado anteriormente ao juiz que Fleming não recebesse pena de prisão nem multa.
A condenação criminal de Fleming representa a primeira condenação bem-sucedida de um fabricante de spyware pelo Departamento de Justiça dos EUA desde 2014, abrindo potencialmente caminho para futuras ações penais contra outros envolvidos em operações de vigilância ilegal.
O advogado de Fleming, Marcus Bourassa, não respondeu ao pedido de comentário quando contatado.
Investigadores da Homeland Security Investigations (HSI), uma unidade do Serviço de Imigração e Alfândega dos EUA (ICE), apresentaram acusações contra Fleming em 2025 como parte de uma investigação mais ampla sobre a indústria de spyware para consumidores . Embora muitos operadores de spyware administrem seus negócios no exterior, os investigadores disseram ao TechCrunch que Fleming chamou a atenção de agentes federais por vender e facilitar o uso de spyware nos Estados Unidos, estando, portanto, sob a jurisdição das autoridades policiais americanas.
Aplicativos de spyware como o pcTattletale são chamados de “stalkerware”, pois os clientes pagantes frequentemente instalam softwares de vigilância em dispositivos de terceiros sem o conhecimento ou consentimento deles, como seus cônjuges. Uma vez instalados, esses aplicativos carregam furtivamente o conteúdo do dispositivo da vítima, incluindo mensagens, fotos e localização em tempo real, e tornam os dados visíveis para a pessoa que instalou o spyware.
De acordo com uma declaração juramentada apresentada por investigadores federais que solicitaram buscas em sua casa, Fleming, em alguns casos, “auxiliou conscientemente clientes que buscavam espionar adultos não consentidos e que não eram seus funcionários”.
De acordo com uma investigação anterior do TechCrunch, um pesquisador de segurança descobriu que o pcTattletale tinha uma falha de segurança que expunha milhões de capturas de tela, feitas pelo spyware a cada poucos segundos, na internet aberta, permitindo que qualquer pessoa visse o conteúdo das telas de computadores de outras pessoas. Isso incluía capturas de tela de computadores de check-in em vários hotéis dos EUA que tinham o pcTattletale instalado, expondo detalhes de hóspedes e reservas.
Fleming não respondeu ao pesquisador nem corrigiu a falha de segurança.
Uma semana após a publicação da nossa reportagem, Fleming encerrou as atividades da pcTattletale em 2024, após um ataque hacker de grande repercussão, desfiguração do site e violação de dados, que revelou que mais de 138.000 clientes haviam pago à empresa para espionar inúmeras vítimas.
O hacker disse ao TechCrunch que explorou uma falha de segurança diferente, permitindo o acesso a todos os arquivos armazenados na conta de armazenamento de dados em nuvem do pcTattletale, incluindo os das vítimas.
Não está claro exatamente quantas pessoas tiveram seus dispositivos comprometidos pelo pcTattletale, e Fleming não notificou seus clientes ou as vítimas sobre a violação de dados. O fundador do pcTattletale disse ao TechCrunch na época que “apagou tudo” dos servidores de sua empresa após a violação.
O pcTattletale é um dos vários fabricantes de stalkerware que foram desativados ou forçados a ficar offline após uma falha de segurança, incluindo LetMeSpy, Cocospy e Spyhide.
