Tenho investigado uma das histórias de hacking mais selvagens da história da internet, e honestamente, não é o que você esperaria. Não foi um ataque cibernético sofisticado orquestrado por hackers de nível estatal. Foi um adolescente. Um garoto do estado da Flórida que conseguiu comprometer algumas das vozes mais poderosas da internet e saiu com mais de 110.000 dólares em Bitcoin. A pessoa por trás disso? Graham Ivan Clark.

Vamos voltar a 15 de julho de 2020. Nesse dia, algo impossível aconteceu no Twitter. Elon Musk, Barack Obama, Jeff Bezos, Apple, Joe Biden — todas as contas verificadas postando mensagens idênticas: "Envie-me 1.000 dólares em BTC e eu lhe enviarei 2.000 dólares de volta." Parece uma piada. Era real. Em poucos minutos, seis dígitos em Bitcoin foram enviados para carteiras controladas pelo hacker. O Twitter entrou em lockdown total, desativando todas as contas verificadas globalmente pela primeira vez na história. E o culpado? Apenas um adolescente de 17 anos com um telefone descartável e um nível de confiança quase inacreditável.

Mas aqui é onde fica interessante. Graham Ivan Clark não começou como um hacker de elite. Ele cresceu em Tampa, Flórida — família desfeita, sem dinheiro, sem perspectivas reais. Enquanto outras crianças jogavam, ele fazia golpes dentro de jogos. Ele se aproximava das pessoas, vendia itens virtuais, pegava o dinheiro e desaparecia. Quando os criadores tentaram expô-lo, ele hackeava seus canais. Aos 15 anos, entrou no OGUsers, um fórum underground notório onde hackers trocam contas roubadas. Ele não precisava de habilidades de codificação. Tinha algo mais poderoso: entendia as pessoas.

O verdadeiro ponto de virada aconteceu quando Graham Ivan Clark dominou o troca de SIM. Essa técnica é enganadoramente simples — ele ligava para funcionários de operadoras de telefonia, convencendo-os de que era o titular da conta, e assumia o controle dos números de telefone das pessoas. Uma vez com isso, tudo o mais seguia: acesso ao email, carteiras de criptomoedas, contas bancárias. Suas vítimas incluíam investidores ricos em criptomoedas que se gabavam online sobre suas posses. Um capitalista de risco acordou e descobriu que mais de 1 milhão de dólares em Bitcoin tinham desaparecido. Quando tentou negociar com os ladrões, a resposta foi arrepiante: "Pague ou vamos atrás da sua família."

O dinheiro o tornou imprudente. Começou a enganar seus próprios parceiros hackers. Eles retaliaram, o expuseram, apareceram na porta de sua casa. Sua vida offline virou algo mais sombrio — negócios de drogas, conexões com gangues, violência. Um amigo foi morto a tiros em um negócio que deu errado. Graham Ivan Clark alegou inocência e, de alguma forma, saiu livre novamente. Em 2019, a polícia invadiu seu apartamento e encontrou 400 Bitcoin, avaliados na época em quase 4 milhões de dólares. Ele negociou devolver 1 milhão de dólares para encerrar o caso. Como era menor, manteve o restante legalmente. Ele tinha vencido o sistema uma vez. Mas não tinha acabado.

Em meados de 2020, antes de completar 18 anos, tinha um alvo final: o próprio Twitter. A pandemia fez com que funcionários do Twitter trabalhassem remotamente de casa, acessando de dispositivos pessoais. Graham e outro adolescente fizeram-se passar por suporte técnico interno. Ligaram para os funcionários, alegaram que precisavam redefinir credenciais de login, enviaram páginas falsas de login corporativo. Dezena de pessoas caíram na armadilha. Passo a passo, eles escalonaram pelos sistemas internos do Twitter até encontrarem o que procuravam — uma conta de "modo Deus" que podia redefinir qualquer senha na plataforma. Dois garotos agora controlavam 130 das contas mais influentes do mundo.

Às 20h de 15 de julho, os tweets foram enviados. A internet entrou em caos. marcas de verificação travaram. Celebridades entraram em pânico. Os hackers poderiam ter derrubado mercados, vazado mensagens privadas, espalhado alertas falsos sobre guerras, roubado bilhões. Em vez disso, apenas coletaram Bitcoin. Naquela altura, já não era mais sobre o dinheiro. Era sobre provar que podiam controlar o megafone mais poderoso do mundo.

O FBI chegou em duas semanas. Logs de IP, mensagens no Discord, registros de SIM — o rastro era claro. Graham Ivan Clark enfrentava 30 acusações de crimes graves: roubo de identidade, fraude eletrônica, acesso não autorizado a computadores. Pena potencial: 210 anos. Mas ele negociou. Como era menor, cumpriu apenas três anos em detenção juvenil mais três anos de liberdade condicional. Hackeou a internet aos 17 e saiu livre aos 20.

Agora, aqui está o que me assombra nesta história. Graham Ivan Clark está lá fora hoje. Livre. Rico. Vivendo com o conhecimento de que realizou algo que a maioria achava impossível. E, enquanto isso, a plataforma que ele hackeou — agora chamada X — está completamente inundada com os mesmos golpes de criptomoedas que o fizeram rico. As mesmas técnicas de engenharia social. A mesma psicologia que ainda funciona com milhões de pessoas.

A lição não é realmente sobre segurança técnica. É mais escura do que isso. Os golpistas não quebram sistemas — eles quebram pessoas. Graham Ivan Clark provou que você não precisa de habilidades de hacking de elite se entender a natureza humana. Medo, ganância e confiança ainda são as vulnerabilidades mais exploráveis que temos. Ele mostrou ao mundo que, às vezes, o hacker mais perigoso é apenas alguém que sabe como falar com as pessoas.