Francês que invadiu Twitter de Obama e Britney mostra como é fácil descobrir senhas

François Cousteix, 24, é um dos mais novos funcionários de uma empresa belga especializada na capitalização de audiências em redes sociais. Mas há quatro meses, sua história era bem diferente: desempregado e conhecido na web como “Hacker Croll”, Cousteix foi detido na França após invadir uma dezena de contas do Twitter, entre elas as do presidente dos EUA, Barack Obama, da cantora Britney Spears e de Evan Williams, co-fundador e CEO do próprio Twitter. Julgado e condenado a uma pena branda – cinco meses de liberdade vigiada – Cousteix revelou por e-mail ao UOL Tecnologia os bastidores do ataque às contas. A técnica usada por Cousteix mostra como é fácil descobrir senhas na internet, desde se tenha tempo para a cansativa tarefa de adivinhá-las por tentativa e erro (e, depois de ler como ele as descobriu, é bem provável que você mude seus próprios hábitos na criação de senhas na web).

A falha explorada por Cousteix, somada a outros ataques ao microblog no início de janeiro, fez a Comissão Federal de Comércio dos EUA abrir um inquérito para investigar as ferramentas de segurança do Twitter. No final de junho deste ano, o microblog chegou a um acordo com o órgão governamental, no qual se comprometeu a implantar um programa de segurança, sob pena do Twitter ser banido por 20 anos se expuser novamente dados dos usuários.

Depois de passar semanas coletando dados pessoais informados em redes sociais usadas por funcionários do Twitter, o jovem francês conseguiu adivinhar senhas frágeis de suas contas de e-mail. A partir daí, teve acesso a dados confidenciais em e-mails corporativos e ao sistema interno de gerenciamento do microblog. Para provar a falha de segurança, o ''Hacker Croll'' copiou as páginas de celebridades de dentro do sistema do Twitter – sem ter acesso, no entanto, a senhas dos perfis –  e divulgou em fóruns e chats de tecnologia.

Agora com uma missão bem menos emocionante em seu novo emprego, a de vigiar marcas e produtos de empresas na internet, o jovem leva uma vida pacata trabalhando de casa, em Clermont-Ferrand, no centro-sul da França. Ele estuda linguagens de programação na internet para, quem sabe, conseguir uma vaga como desenvolvedor. Quanto a uma carreira em segurança da informação, diz que adoraria seguir a área, mas desconversa. “Prefiro concentrar todos os meus esforços no meu trabalho”.

Veja a seguir os principais trechos da entrevista:

UOL Tecnologia – Como começou seu interesse pela informática?
François Cousteix – Comecei a me interessar por computadores quando tinha oito anos, deve ter sido lá por 1994. Meu tio me deu um computador que era do seu trabalho e que ia ser jogado fora. Era uma máquina bem básica: o sistema operacional era MS-DOS. Fui me familiarizando com os comandos do DOS. Além desse aprendizado, eu ocupava a maior parte do meu tempo livre jogando Príncipe da Pérsia. Eu era apaixonado pelo jogo. Fiquei fascinado pelo modo de jogar, a delicadeza dos grafismos, as interações entre o príncipe e certos elementos decorativos, as animações que levavam realismo ao jogo.

Mas depois de alguns meses, meu computador quebrou. Não ligava de jeito nenhum. Meu pai, que seguia de perto minhas atividades no computador naquela época, decidiu comprar uma máquina mais moderna para mim para que eu pudesse jogar. Essa máquina nova era da Packard Bell e rodava Windows 3.11. Mais tarde, meu pai começou a assinar algumas revistas de informática e de vez em quando, comprava alguns jogos para mim. Eu sentia que cada vez mais os jogos faziam crescer uma paixão devoradora por informática.

No começo dos anos 2000, comecei a dar os primeiros passos na internet e fui perdendo o interesse nos videogames, pouco a pouco. Eu usava a internet principalmente para fazer pesquisas, consultar meus e-mails e ver notícias... mas sem poder ficar muito tempo conectado, já que a conexão era cara. Depois, em 2003, meu pai conseguiu fazer uma assinatura ilimitada. Nesse momento, peguei gosto pela internet de vez.

UOL Tecnologia – Como você descobriu as senhas do Twitter? Quanto tempo você gastou nisso?
Cousteix – Eu tinha lido artigos que relatavam ataques alguns meses antes nessa rede social e tinha me recusado a criar uma conta por crer que minhas informações pessoais podiam ser expostas por indivíduos mal intencionados. Queria ter certeza que os empregados do Twitter davam importância à escolha de suas senhas e à segurança dos dados transmitidos pelos usuários.

Sabia que no fundo, o Twitter não era tão seguro quanto os administradores da rede nos faziam crer, em razão de ataques precedentes. Eu também tinha lido um estudo sobre senhas. Ele concluía ser grande o número de internautas que usavam senhas muito simples e, muito frequentemente, as repetiam em diversos sites.

Depois de refletir, vi que o estudo poderia ser aplicado aos funcionários do Twitter, considerando que o elo mais fraco de um sistema de informática são os humanos.

O que fiz primeiro foi estudar o Twitter e, depois, seus empregados. Para isso, usei os meios de pesquisa que estavam à minha disposição na internet para ter uma ideia mais precisa do que era o Twitter, como ele funcionava e qual era seu modelo econômico. Depois, fui conhecer os funcionários da rede social.

Na parte inferior do site, havia o link “About us”. Ao clicar nele, fui redirecionado a uma lista de funcionários da rede. Consultei suas contas uma por uma e colhi informações de seus próprios perfis (como nome, sobrenome, sites e blogs pessoais). Depois, fiz outras pesquisas no Google em seus sites ou blogs pessoais, galerias de fotos, redes sociais sem ser o Twitter (Viadeo, LinkedIn...), com o objetivo de descobrir seus endereços de e-mail.

Assim que julguei ter uma quantidade suficiente de informações, tentei redefinir a senha de alguns serviços de e-mail deles, clicando no link “Esqueceu sua senha?”. Alguns deles oferecem dicas aos usuários para ajudar a se lembrarem das senhas, como “Em que cidade você nasceu?”.

Nas informações que eu tinha coletado sobre os funcionários, havia a resposta para questões como essa. Dessa forma, consegui acessar suas caixas de e-mail. Continuei meu trabalho de pesquisa lendo seus e-mails com o objetivo de encontrar outras senhas – comumente, depois de se inscrever num site ou fórum, um e-mail lembrete da senha para conexão no sistema é enviado ao usuários. Localizei as mensagens que tinham um senha idêntica à utilizada para acessar o serviço de e-mail e então deduzi que eles também a utilizam para se conectarem em suas contas de Twitter.

Pouco a pouco, fui encontrando informações bem mais sensíveis sobre o Twitter e seus usuários, acessando o sistema de gestão da rede social [onde teve acesso aos perfis do presidente Obama, Britney Spears e Evan Williams]. Foram várias semanas gastas nessas pesquisas. Em alguns casos, elas não levaram a lugar algum.

UOL Tecnologia – Na época da invasão, você se considerava um hacker?
Cousteix – Não me considerava um hacker, no sentido próprio do termo, e mais como um investigador muito bom. Adoro fazer investigações, pesquisar informações, adivinhar senhas...

UOL Tecnologia – Depois de violar as contas, você achava que não seria descoberto?
Cousteix – O Twitter identificou minha invasão menos de 20 minutos depois e avisou os usuários afetados. Alguns dias depois do início de maio de 2009, consegui acessar a conta de e-mail de um funcionário administrativo. Ao ler seus e-mails, acabei achando uma newsletter interna, escrita por Biz Stone, co-fundador da empresa, reservada apenas a funcionários do Twitter. Nessa newsletter, ele falava sobre os fatos que tinham acontecido ao longo da semana. Um parágrafo falava da minha invasão. Dizia que naquela semana, o microblog tinha sido vítima de uma invasão por terceiros e que dez contas tinham sido violadas. Em seguida, ele falava que tinha alertado os usuários sobre a exposição dos dados pessoais e que o caso tinha sido comunicado ao FBI.

A partir daquele momento, eu soube que uma queixa tinha sido feita. Em consequência disso, parei minhas pesquisas. Tive medo de represálias.

Depois de algumas semanas, dei uma entrevista a uma revista especializada em segurança da informação, chamada Zataz. Nesse mesmo site eu havia publicado as provas da minha invasão. Pouco tempo depois, a jornalista do site me avisou que tinha recebido a visita da polícia e que ela tinha dado as informações requisitadas pelas autoridades. Assim que soube disso, não levei a questão muito a sério, considerava o Zataz um site renomado pela confidencialidade das suas fontes.

UOL Tecnologia – Acredita que o caso teve uma repercussão exagerada por parte das autoridades e mídia?
Cousteix – Sim, acho que a imprensa repercutiu exageradamente uma história que não merecia tanta dimensão midiática, já que ela não teve gravidade particular e foi pouco prejudicial ao Twitter.

UOL Tecnologia – Você se arrepende do que fez?
Cousteix –  Eu me arrependo somente do lado ilegal da minha pesquisa. Acho que teria sido mais honesto somente assinalar as falhas humanas do que tê-las explorado.

UOL Tecnologia – Você teve medo de sofrer uma pena mais severa?
Cousteix – Sim, tive medo de ser preso e de ir para junto de pessoas de um meio diferente. As condições de vida dentro das prisões são muito precárias. Isso me abalou e mudou muito meu cotidiano.

UOL Tecnologia – Agora você está trabalhando com a análise de audiências em mídias sociais e disse que está estudando para ser desenvolvedor. Não pensa em seguir uma carreira na área de segurança da informação?
Cousteix – Eu adoraria seguir uma formação na área de segurança da informação e ensinar o que sei para jovens em escolas, porque não creio que eles tenham uma sensibilização suficiente sobre esse tema. Mas no momento, prefiro concentrar todos os meus esforços no meu trabalho.

UOL Tecnologia – Quais são suas expectativas para o futuro?
Cousteix – Num futuro próximo, quero me instalar em Paris e trabalhar com uma equipe. A empresa que me contratou tem um escritório novo na região parisiense.

UOL Tecnologia – Acredita que as pessoas irão se lembrar de você como o “hacker do caso Obama”?
Cousteix – Serei talvez esquecido dentro de algum tempo, mas não completamente. As pessoas que me conhecem se lembrarão disso. Acho que eles irão guardar durante um longo tempo na memória essa imagem de hacker.