Acabei de acabar de ler sobre este caso absolutamente insano e tive de o partilhar porque ainda me deixa completamente de queixo caído. Um rapaz de 17 anos, da Flórida, praticamente entrou pela porta da frente do Twitter e roubou a algumas das pessoas mais poderosas do planeta. Não foi com algum exploit sofisticado de zero-day ou coisa do género — foi apenas engenharia social e pura lata.

Então, foi assim que aconteceu. Graham Ivan Clark cresceu com falta de dinheiro em Tampa, basicamente sem nada a seu favor. Mas, em vez de desistir, começou a mexer com hacking cedo. Começou pequeno — a fraudar pessoas no Minecraft, a roubar itens do jogo — e depois passou para o hacking de canais do YouTube. Aos 15 anos já estava profundamente metido no OGUsers, este fórum infame onde as pessoas trocam contas de redes sociais roubadas. Não era preciso saber programar. Era só charme, pressão e saber como manipular as pessoas.

Depois, ele percebeu o que era o SIM swapping. É aqui que fica assustador. Ele ligava para as operadoras de telemóveis, convencendo-as de que era o titular da conta e — boom — passava a ter acesso ao email das pessoas, às carteiras de cripto, a tudo. Um investidor de risco chamado Greg Bennett acordou para descobrir que mais de um milhão em Bitcoin tinha desaparecido. Os hackers chegaram mesmo a ameaçar a família dele para o obrigar a pagar mais.

Mas Graham queria ir mais longe. Em 2020, estava pronto para o seu movimento final antes de fazer 18 anos. Os funcionários do Twitter trabalhavam a partir de casa durante os confinamentos da COVID, e essa foi a abertura dele. Ele e outro adolescente fizeram-se passar por suporte de IT, enviaram páginas de login falsas aos funcionários e foram-se socialmente metendo pelo caminho acima até encontrarem uma conta com acesso a “God mode”. De repente, dois miúdos controlavam 130 das mais poderosas contas verificadas do mundo.

Aconteceu a 15 de julho de 2020, pelas 8 PM. Tweets de Elon Musk, Obama, Bezos, Apple — todos a dizer para enviarem Bitcoin e receberem o dobro de volta. Mais de 110K em BTC inundaram as carteiras deles em poucos minutos. O mundo inteiro perdeu a cabeça. Mas o ponto é este — podiam ter feito crash aos mercados, podiam ter vazado DMs privadas, podiam ter espalhado alertas de guerra falsos. Em vez disso, limitaram-se a “cultivar” cripto. Foi guerra psicológica pura.

O FBI apanhou-o em duas semanas, usando logs de IP e mensagens do Discord. Graham enfrentou 30 acusações de crime grave e, potencialmente, 210 anos. Mas, como era menor, negociou até ficar pelos 3 anos de detenção juvenil mais liberdade vigiada. Tinha 17 anos quando hackeou o Twitter. Tinha 20 quando saiu em liberdade. Continuava rico. Continuava intocável.

O que me deixa mesmo a pensar é a ironia agora. Ele provou que não é preciso deitar abaixo sistemas se conseguires enganar as pessoas que os gerem. A engenharia social bate a segurança todas as vezes porque os seres humanos são a ligação mais fraca. E, ao olhar para o X hoje, está inundado com exatamente os mesmos golpes de cripto que tornaram Graham rico. A psicologia continua a funcionar.

A verdadeira lição aqui não é que Graham era um génio do hacking. É que o medo, a ganância e a confiança continuam a ser as coisas mais exploráveis no mundo. Nunca confies na urgência, nunca partilhes credenciais, nunca assumes que contas verificadas são realmente quem dizem ser. Porque Graham Ivan Clark nos mostrou que o maior hack não é técnico — é humano.