Conheça Peiter Zatko, o hacker que expôs os segredos do Twitter
Ex-chefe de segurança da plataforma tem histórico com hackativismo e é tido como lenda entre hackers
Por três décadas, o pioneiro da segurança Peiter "Mudge" Zatko expôs como um hacker os riscos que usuários de tecnologia enfrentam. Agora ele repete o feito, mas desta vez como um denunciante.
Zatko, ex-chefe de segurança do Twitter, protocolou no mês passado uma reclamação na Securities and Exchange Comission (SEC, equivalente à CVM nos Estados Unidos) acusando a companhia de violar o acordo com a Federal Trade Commission (FTC, equivalente ao Cade brasileiro) de manutenção de boas práticas de cibersegurança.
O documento, obtido pelo Washington Post a partir de um político democrata, pode afetar o desempenho legal e financeiro do Twitter, bem como a batalha da empresa contra Elon Musk, bilionário que desistiu de comprar a plataforma por US$ 44 bilhões por ter se sentido enganado pela companhia e investidores.
Leia também
Zatko, demitido em janeiro, menos de dois anos depois de o então CEO Jack Dorsey colocá-lo a bordo no Twitter, diz que tenta fazer valer seu compromisso em deixar o Twitter e seus usuários, incluindo dissidentes de regimes autoritários, mais seguros.
Esse compromisso vai de encontro ao motivo pelo qual Dorsey contratou Zatko: alguém conhecido por seguir sua própria bússola moral e por dizer a verdade em busca de mudanças. O especialista tem um lema pessoal próprio: "Deixar uma marca no universo".
Zatko contou ao Washington Post que agarrou a chance de se juntar à plataforma "para melhorar a saúde da conversa pública" depois que um hacker adolescente sequestrou as contas verificadas de líderes políticos em 2020. "Sem chance alguma de eu não me pronunciar e não ir para o pau", disse.
De acordo com a denúncia de Zatko, após a saída de Dorsey do cargo de CEO, ele informou o conselho do Twitter de que as proteções para informações pessoais de usuários eram mais fracas do que o avisado. Porém, o novo presidente executivo da companhia, Parag Agrawal, demitiu o hacker.
O Twitter disse que as afirmações de Zatko são falsas, exageradas ou desatualizadas.
"O sr. Zatko foi demitido do Twitter mais de seis meses atrás por má performance e liderança, e ele agora parece oportunamente procurar infligir mal ao Twitter, seus consumidores e investidores", declarou Rebecca Hahn, vice-presidente global de comunicações do Twitter.
Agrawal, que se recusou a comentar, enviou um e-mail aos funcionários depois da publicação desta reportagem dizendo que Zatko foi demitido por má performance.
Advogados de Zatko negaram o oportunismo ou que a intenção do hacker seja prejudicar o Twitter. Ele "repetidamente levantou preocupação sobre os grosseiros sistemas de informação para o comitê executivo e mesa de diretores do Twitter", escreveu a equipe jurídica. "Zatko colocou sua carreira em risco por causa de suas preocupações com os usuários do Twitter, o público e os investidores da companhia."
Quem é Peter Zaitko?
Zatko, 51, tem um longo histórico de revelar segredos para o mundo, especialmente quando protegem atividade maliciosa ou irresponsabilidade corporativa.
Aos 30, ele desenvolveu uma das mais poderosas ferramentas para crackear senhas, ainda em uso; testemunhou perante o Congresso sobre a suscetibilidade da internet a ataques hacker drásticos; e cofundou uma das primeiras consultorias de hacker apoiadas por fundos de investimento, com intuito de trazer insights do submundo de cibersegurança para grandes empresas.
"Entrei no Twitter porque é um recurso essencial para o mundo", disse Zatko de sua casa, na cidade de Nova York. "Todas as notícias parecem ser do Twitter ou vão para o Twitter para colorir o contexto. A plataforma não só pinta a opinião pública, mas também muda governos."
Filho de uma professora de química e de um cientista de mineração, Zatko cresceu no Alabama e na Pensilvânia, tocando violino e violão, quebrando códigos de direitos autorais em games e participando de fóruns de discussão. Ele entrou na universidade Berklee College of Music, em Boston, em 1988 e continuou explorando a internet, às vezes trocando o acesso ao estúdio da faculdade pelos laboratórios de computadores favoritos dos hackers do MIT.
Em 1996, Zatko se juntou à L0phft (pronuncia-se "loft"), tida como o primeiro espaço hacker dos EUA. O coletivo incluiu um punhado de especialistas em hardware e software que ganharam reputação por emitir alertas sobre falhas de seguranças em programas.
Naquela época, maior parte desses avisos era sobre software em empresas, porque a internet para os consumidores estava apenas começando. A Microsoft estava empurrando essa onda e se sentiu atacada quando a L0phft emitiu alertas que forçavam hackers talentosos a olhar em seus sistemas internos.
A empresa dona do Windows sugeriu que a L0pht faria melhor se avisasse com antecedência as falhas de um software antes de publicar os achados, o que permitiria que criminosos tomassem vantagem disso. O coletivo concordou, estabelecendo um modelo coordenado hoje utilizado pela maior parte dos pesquisadores.
Naquela época, autoridades do alto escalão do governo estavam começando a se importar com o que hackers de outros países poderiam fazer contra os Estados Unidos. Por isso, o auxiliar do governo de Bill Clinton, Richard Clarke, arranjou um encontro de Zatko e seus colegas na L0pht para testemunhar no Congresso em 1998, ainda que sob pseudônimos.
Posteriormente, Zatko e Christien Rioux, membro da L0phft, juntaram-se ao grupo Cult of the Dead Cow, que mais tarde cunharia o termo "hackativismo", junção entre hacking e ativismo para promover a luta contra a censura e vigilância.
Além disso, Zatko ajudou a tornar a L0pht na @stake, firma com fins lucrativos era consultada por bancos e companhias de software (como Microsoft) para melhoras nos sistemas de segurança.
O hacker passou ainda pelo Pentágono e integrou o projeto de inovação em Defesa do governo americano, criando um programa que incentivava hackers a ajudar o governo por pequenas quantias de dinheiro.
A volta de Zatko ao mundo corporativo incluiu a Motorola Mobility, Google e a startup de finanças Stripe, que, enquanto crescia, era alvo de ataques cibernéticos.
Em 2020, Dorsey conseguiu seduzir Zatko a sair da Stripe, dizendo que o CEO estava inspirado pela carreira do hacker, segundo duas fontes com conhecimento do assunto disseram ao Washington Post.
"Jack (Dorsey) ama hackers, e Mudge é uma lenda", disse uma das pessoas sob condição de anonimato.
Falhas no Twitter
Os documentos protocolados por Zatko junto às autoridades americanas apontam que o hacker fez uma exame rigoroso dos problemas de segurança do Twitter.
Zatko recrutou desenvolvedores e incentivou mais transparência e responsabilidade na companhia. "Ele pode falar a língua geek, mas ele se comunica muito efetivamente", disse Renee Rush, veterano dos tempos de Pentágono que entrou no Twitter para trabalhar com o colega. "Ele navega entre mundos e tem uma visão que só ele pode executar. É um unicórnio."
O maior desafio viria dois meses após sua contratação, em 6 de janeiro de 2021, durante a invasão ao Capitólio dos Estados Unidos.
Com debates internos no Twitter sobre se o presidente americano Donald Trump deveria ser banido da plataforma, Zatko perguntou se a empresa poderia assegurar que nenhum hacker ou desenvolvedor insatisfeito pudesse sabotar o serviço.
Nos documentos, Zatko alega que foi dito a ele que isso não poderia ser feito e que milhares de funcionários seriam capazes de criar caos, se assim decidissem.
Nesse mesmo dia, uma chamada da equipe de transição do então presidente eleito Joe Biden ligou para Zatkos, oferecendo um cargo como chefe de segurança da informação do governo federal inteiro a partir de 20 de janeiro de 2021, diz o documento.
O hacker negou a oferta, dizendo que se imaginava fazendo um bem melhor no Twitter.
Zatko durou mais um ano no Twitter, antes de discutir com Parag Agrawal sobre o que o conselho de diretores deveria saber.
Fora da companhia, o hacker procurou um jeito legal de avisar as autoridades sobre a situação de segurança no Twitter. Os documentos expõem o que ele considera um lapso perigoso na companhia e convida reguladores para tomar atitudes.
"Esse nunca seria meu primeiro passo, mas acredito que estou cumprindo com minha obrigação para com Jack (Dorsey) e os usuários da plataforma", diz. "Quero terminar o projeto para o qual Jack me convidou, que é melhorar o lugar."
