Essa não é uma noticia tão recente mas toda vez que lembro fico meio surpreso de como ela ocorreu, no ano passado diversas celebridades tiveram suas contas no twitter hackeadas, dentre elas, tivemos o Bill Gates, Elon Musk e o ex-presidente dos E.U.A Barack Obama.
O que mais me deixou surpreso nesse caso é que, todas essas possuiam duplo fator de autenticação, então, como exatamente elas foram hackeadas?
A resposta é simples! O hacker que tinha incríveis 17 anos na época do crime, conseguiu acesso à uma ferramenta interna do Twitter, com isso, o usuário poderia ter qualquer tipo de proteção, que seria possível ultrapassá-la.
A api
O que foi usado para executar o ataque foi uma chamada direta numa api interna da plataforma.
Ok. agora você deve estar se perguntando o que é uma api, calma que a gente chega lá.
Application Programming Interface, ou simplesmente, API é usada para conectar um ponto de uma aplicação as suas respectivas regras de negócio, pra exemplificar, imagine que temos uma api para realizar login numa plataforma, geralmente, seriam enviados os dados usados no login para ela que, por fim, os validaria e efetuaria ou não o login.
Como ela consegue manipular diretamente os dados da aplicação mesmo que você utilize dois fatores de autenticação ou algo do tipo, é perfeitamente possível hackear sua conta.
O nosso hacker utilizou de uma api interna do Twitter para conseguir hackear as contas dos usuários, e como se isso por si só não fosse ruim, ele ainda realizou postagens na plataforma solicitando bitcoins e dizendo que devolveria o dobro do enviado, bizarro, né?
Então, pessoal, sempre que algo parecer bom de mais para ser verdade, provavelmente é mentira.
Acreditem, muita gente caiu nessa armadilha e o hacker conseguiu arrecadar 11 btcs com a fraude, o que dá em torno de R$2.834.644 na cotação atual.
Desfecho
E, ao contrário do que muita gente imagina, o bitcoin não é totalmente irastreável, a explicação disso fica pra outro artigo, o que importa aqui é que a união desse e de outros fatores levaram o departamento de crimes cibernéticos da Internal Revenue Service, que é a receita federal dos EUA, a conseguir, por meio da análise das transações com os bitcoins, chegar ao responsável pelo crime.
Como se esse caso já não fosse estranho o suficiente, até a audiência virtual do hacker saiu de controle, nesse caso, o juíz se esqueceu de verificar as permissões da reunião e várias pessoas usaram a chamada para tocar música, gritar, e até mesmo colocar pornografia, isso mesmo, você não ouviu errado.
Como também não foi configurado o recurso de impedir o controle da apresentação, algum usuário entrou na chamada a usou para compartilhar um vídeo pornográfico.
Acho que os juízes estão precisando de um treinamento de segurança em?
O Bug Bounty
Agora falando sério, o que me deixa mais triste desse tipo de hacking é que, uma pessoa não precisa cometer um crime para conseguir ganhar dinheiro com hacking, provavelmente, você demorará um pouco mais que algumas horas para conseguir 2 milhões de reais, mas ainda assim é melhor do que ser preso.
O método ao qual me refiro é o Bug Bounty, com ele você pode procurar e reportar falhas de segurança para empresas e ainda receber dinheiro com isso, tudo por dentro da lei.
Uma falha dessa no Twitter provavelmente renderia uma recompensa de uns $30.000 algo em torno de 170 mil reais, é um valor bem menor que os 2 milhões de reais, mas totalmente legal.