Sabes o que é louco? O maior ataque no Twitter não veio de alguma unidade russa de ciber guerra ou de um sindicato de hackers de elite. Veio de um adolescente sem dinheiro na Flórida, com nada além de um portátil e a audácia de realmente conseguir fazê-lo. Estou a falar de Graham Ivan Clark — e a sua história é honestamente um dos casos de engenharia social mais fascinantes que já li.

Então, aqui está o que me impressiona: em 15 de julho de 2020, toda a internet simplesmente congelou. Contas verificadas em todo o lado — Elon Musk, Obama, Bezos, Apple, Biden — todas a publicar a mesma mensagem a pedir às pessoas que enviassem Bitcoin. No começo, todos pensaram que era uma brincadeira elaborada. Mas não era. Estas não eram capturas de ecrã ou contas falsas. Os tweets estavam ao vivo. Reais. E um adolescente tinha de alguma forma assumido o controlo das vozes mais poderosas do Twitter.

Em poucos minutos, mais de 110.000 dólares em Bitcoin começaram a inundar carteiras. Em horas, o Twitter fez algo sem precedentes — bloqueou todas as contas verificadas globalmente. E a pessoa por trás de tudo? Apenas um miúdo de 17 anos com um telemóvel descartável.

O que é ainda mais louco é como Graham Ivan Clark realmente chegou lá. Crescendo em Tampa, praticamente sem nada, começou pequeno — a fazer esquemas no Minecraft, a hackear canais de YouTubers por vingança, a trocar contas de redes sociais roubadas em fóruns underground. Mas ele não precisava de habilidades de codificação. Ele entendia algo muito mais poderoso: psicologia humana. Aos 15 anos, já estava profundamente envolvido no OGUsers, aprendendo a arte obscura da engenharia social.

Depois descobriu o troca de SIM. Aqui é que fica mais escuro. Convencia funcionários de operadoras telefónicas a transferir o controlo dos números das pessoas para ele. De repente, tinha acesso aos seus emails, carteiras de criptomoedas, contas bancárias — tudo. Um investidor de risco acordou e descobriu que tinha mais de um milhão em Bitcoin desaparecido. Quando contactou os ladrões, eles responderam com uma mensagem: paga ou vamos à tua família.

O dinheiro tornou-o imprudente. Enganou os seus próprios parceiros. Eles apareceram na sua casa. A sua vida offline estava a desmoronar-se — drogas, laços de gangues, caos. Um amigo foi morto a tiro numa operação mal sucedida. Em 2019, a polícia invadiu a sua casa e encontrou 400 Bitcoin. Ele devolveu um milhão para fazer desaparecer. Tinha 17 anos. Como era menor, manteve legalmente o resto.

Mas Graham Ivan Clark não estava satisfeito. Queria uma última grande jogada antes de fazer 18 anos. Queria o próprio Twitter.

Durante os confinamentos por COVID, os funcionários do Twitter trabalhavam de casa, a fazer login a partir de dispositivos pessoais. Graham e outro adolescente fizeram-se passar por suporte interno de TI. Ligaram aos funcionários, enviaram páginas falsas de login corporativo, e assistiram-nos a cair na armadilha. Passo a passo, subiram pelo sistema do Twitter até encontrarem o que chamaram uma conta modo Deus — um painel que podia redefinir qualquer palavra-passe na plataforma. Dois adolescentes de repente controlavam 130 das contas mais poderosas do mundo.

O FBI apanhou-o em duas semanas usando registos de IP, mensagens no Discord, e dados de SIM. Enfrentou 30 acusações de crime grave e até 210 anos de prisão. Mas aqui está o que importa — por ser menor, cumpriu apenas três anos numa prisão juvenil. Tinha 17 quando invadiu o Twitter. Tinha 20 quando saiu em liberdade.

E agora? Graham Ivan Clark está lá fora. Livre. Rico. Intocado. Entretanto, X — que é o que o Twitter virou — está completamente inundado com as mesmas fraudes de criptomoedas que o tornaram rico. As mesmas truques de engenharia social. A mesma psicologia que ainda funciona com milhões de pessoas todos os dias.

A verdadeira lição aqui não é sobre hackear código. É sobre como os golpistas hackeiam as pessoas. Usam urgência. Exploram a confiança. Imitam contas verificadas. Enviam-te para páginas de login falsas. E funciona porque o medo, a ganância e a confiança são as vulnerabilidades reais — não os sistemas em si. Graham Ivan Clark provou que não precisas de quebrar a infraestrutura se conseguires enganar os humanos que a gerem. Essa é a verdadeira invasão.