Apenas imagina — um miúdo de 17 anos de Tampa, com um portátil e um telemóvel, conseguiu literalmente desligar o Twitter durante horas. Sem malware sofisticado. Sem exploits zero-day. Apenas engenharia social pura que enganou algumas das empresas de tecnologia mais inteligentes do mundo. Esta é a história de Graham Ivan Clark e, sinceramente, ainda me assombra como é que tudo aconteceu.

Deixa-me levar-te de volta a 15 de julho de 2020. Estás a navegar no Twitter e, de repente, vês Elon Musk, Obama, Bezos, Apple, Biden — basicamente todas as contas verificadas que interessam — a publicar a mesma coisa: “Envia-me $1.000 em BTC e eu devolvo-te $2.000”. Ao princípio, pensas que é uma brincadeira, certo? Mas depois percebes… isto não é uma brincadeira. O Twitter está de facto comprometido. A plataforma está nas mãos de alguém que não devia estar perto dela.

Dentro de minutos, mais de $110.000 em Bitcoin atingiram as carteiras do hacker. Em poucas horas, o Twitter entrou em modo nuclear e bloqueou todas as contas verificadas a nível global — algo que, literalmente, nunca tinha acontecido antes. E o cérebro por trás de tudo isto? Não era uma qualquer elite de um grupo russo de hackers. Não era um cibercriminoso a viver no porão, com anos de experiência. Era apenas um adolescente sem dinheiro chamado Graham Ivan Clark.

Mas o que torna esta história mesmo interessante é o seguinte. Clark não cresceu a querer ser hacker, no sentido tradicional. Era um miúdo de uma casa desfeita na Florida, sem dinheiro e sem perspetivas reais. Começou pequeno — a fazer burlas no Minecraft, a fazer amizades, a tirar-lhes os itens do jogo e a desaparecer. Quando youtubers tentaram expô-lo, ele hackeava os respetivos canais por pura vingança. Aos 15 anos, já estava bem metido no OGUsers, este conhecido fórum underground onde as pessoas trocam contas de redes sociais roubadas. Mas aqui está o pormenor — ele nem sequer estava a programar. Era apenas, simplesmente, muito, muito bom a manipular pessoas.

Depois ele descobriu o SIM swapping. Basicamente, convence funcionários da companhia telefónica a transferirem o número de alguém para um dispositivo que tu controlas. Quando tens isso, tens o email deles, as carteiras de cripto, as contas bancárias deles — tudo. Uma das vítimas dele foi um capitalista de risco chamado Greg Bennett. Clark drenou mais de $1 milhões em Bitcoin dele. Quando Bennett tentou negociar, a resposta foi arrepiante: “Paga ou vamos aparecer para a tua família.”

O dinheiro deixou Graham Ivan Clark imprudente. Ele começou a enganar os seus próprios parceiros hackers. Eles identificaram-no publicamente. Apareceram em frente à casa dele. A vida dele offline também estava a descontrolar-se — drogas, ligações a gangues, caos. Um negócio correu mal e um amigo dele foi baleado. Ele alegou inocência e, de alguma forma, acabou por sair livre novamente. Em 2019, a polícia fez uma busca ao apartamento dele e encontrou 400 BTC — quase $4 milhões na altura. Ele devolveu $1 milhões para “fechar o caso” e, como era menor, legalmente ficou com o resto. Tinha vencido o sistema uma vez.

Mas ele não tinha acabado. Em 2020, o objetivo final dele, antes de fazer 18 anos, era ambicioso a sério: hackear o próprio Twitter. Era a época de confinamento devido à COVID, por isso os trabalhadores do Twitter estavam a trabalhar a partir de casa, a fazer login remotamente a partir de dispositivos pessoais. Uma oportunidade perfeita. Clark e outro adolescente fizeram-se passar por apoio técnico interno, telefonaram para funcionários, disseram-lhes que precisavam de repor as credenciais de início de sessão e enviaram-lhes páginas de login corporativas falsas. Dezenas caíram. Continuaram a subir na hierarquia interna do Twitter até encontrarem aquilo — uma conta em “modo Deus” que podia redefinir qualquer palavra-passe na plataforma. De repente, dois adolescentes controlavam 130 das contas mais poderosas do mundo.

Às 20:00 de 15 de julho, os tweets foram publicados. A internet ficou congelada. Os mercados podiam ter desabado. Podiam ter sido emitidos alertas falsos de guerra. Podiam ter sido roubados milhares de milhões. Em vez disso, limparam apenas Bitcoin. Nunca foi mesmo sobre o dinheiro — era sobre provar que conseguiam controlar o maior megafone do mundo.

O FBI apanhou Graham Ivan Clark em duas semanas usando registos de IP, mensagens do Discord e dados de SIM. Ele enfrentou 30 acusações por crimes graves e, potencialmente, 210 anos de prisão. Mas o sistema fez-lhe um acordo. Como era menor, cumpriu apenas 3 anos em detenção juvenil e 3 anos de liberdade condicional. Ele tinha 17 anos quando hackeou o mundo. Tinha 20 quando saiu em liberdade.

A cereja no topo — hoje está cá fora, rico e basicamente intocável. X (anteriormente Twitter) sob Elon Musk está inundado de burlas cripto todos os dias. Exatamente as mesmas burlas que tornaram Graham Ivan Clark rico. Exatamente a mesma psicologia que ainda funciona com milhões de pessoas.

A verdadeira lição aqui é esta? Estes tipos não hackeiam sistemas — hackeiam pessoas. A engenharia social não tem a ver com habilidade técnica. Tem a ver com compreender o medo, a ganância e a confiança. Nunca confies na urgência. Nunca partilhes credenciais. Não assumes que as contas verificadas são seguras. Confirma sempre os URLs antes de iniciares sessão. Porque, honestamente, não tens de partir o sistema se conseguires enganar quem o está a gerir.