Já reparou como as maiores violações de segurança nem sempre envolvem códigos sofisticados? Estava a ler sobre este caso que prova exatamente isso — e, honestamente, é incrível.

Então, em julho de 2020, o Twitter foi completamente comprometido. Mas não por alguma unidade cibernética russa de elite ou grupo APT sofisticado. Foi um adolescente. Um rapaz de 17 anos de Tampa, Flórida, chamado Graham Ivan Clark, com basicamente nada além de um portátil, um telemóvel e uma audácia que faria o Vale do Silício suar.

Aqui está o que aconteceu: Em 15 de julho, contas verificadas começaram a publicar mensagens idênticas. Elon Musk, Obama, Bezos, Apple, Biden — todos a dizer a mesma coisa. Envie Bitcoin, receba o dobro de volta. Parecia ridículo, certo? Como uma fraude óbvia. Mas as pessoas realmente caíram nela. Em minutos, mais de 110.000 dólares em Bitcoin foram enviados para carteiras. O Twitter teve que desativar todas as contas verificadas globalmente — algo que literalmente nunca tinha acontecido antes.

A parte louca? Graham Ivan Clark não precisava ser um programador mestre. Ele não quebrou criptografia nem explorou zero-days. Ele apenas ligou para funcionários do Twitter, fingiu ser suporte técnico, e conseguiu que eles redefinissem credenciais. Durante os confinamentos por COVID, todos trabalhavam de casa, entrando por dispositivos pessoais. A engenharia social era quase embaraçosamente simples. Ele e um cúmplice subiram na hierarquia interna até encontrarem uma conta de "modo Deus" que lhes permitiu controlar 130 das contas mais poderosas na plataforma.

Antes daquele ataque, Graham já tinha feito golpes há anos. Começou com contas de Minecraft, passou para troca de SIM — convencendo operadoras a dar-lhe controlo sobre os números de outras pessoas. Foi assim que acessou carteiras de criptomoedas e contas de email. Um investidor de risco chamado Greg Bennett acordou e descobriu que tinha mais de 1 milhão de dólares em Bitcoin desaparecidos. Quando as vítimas tentaram negociar, receberam ameaças de que iam atacar as suas famílias.

A sua vida offline era igualmente caótica. Ligações a gangues, negócios de droga, traições. Enganou até os seus próprios parceiros hackers. Quando a polícia invadiu o seu apartamento em 2019, encontraram 400 BTC — cerca de 4 milhões de dólares na altura. Negociou a devolução de 1 milhão de dólares para "fechar o caso" e, de alguma forma, ficou com o resto. Era menor de idade, então o sistema deixou-o sair com milhões.

Quando o FBI finalmente o apanhou após o ataque ao Twitter, tinham tudo — registos de IP, mensagens no Discord, dados de SIM. Enfrentou 30 acusações de crime grave e potencialmente 210 anos de prisão. Mas, por ser menor, fez um acordo. Três anos em regime de detenção juvenil, três anos de liberdade condicional. Tinha 17 anos quando hackeou o maior megafone do mundo. Tinha 20 quando saiu.

O que realmente assusta é o quão relevante isto ainda é. Graham Ivan Clark provou algo que os golpistas sabem há sempre — não é preciso quebrar o sistema se se consegue enganar quem o gere. Hoje, o X está inundado com os mesmos golpes de criptomoeda que o fizeram ficar rico. As mesmas táticas de engenharia social. A mesma manipulação psicológica.

A verdadeira lição aqui não é sobre tecnologia. É sobre o quão vulneráveis somos todos às emoções. Medo, ganância, confiança — essas são as verdadeiras vulnerabilidades. Quando alguém cria urgência, quando apela ao teu bolso ou ao teu ego, quando soa suficientemente oficial, a maioria das pessoas não pensa duas vezes. Graham Ivan Clark não precisou de ser um hacker génio. Ele apenas entendeu as pessoas melhor do que elas entendiam a si mesmas.