Parece que um hacker brasileiro foi indiciado nos EUA por ter supostamente ameaçado divulgar dados roubados após uma invasão feita à rede de uma empresa em março de 2020.

Junior Barros de Oliveira, de 29 anos, de Curitiba, foi indiciado em 4 acusações de extorsão envolvendo informações obtidas de computadores protegidos e outras 4 por mensagens ameaçadoras, disse o Departamento de Justiça dos EUA (DoJ) em um indiciamento aberto no início desta semana.

A vítima, uma subsidiária brasileira sediada em Nova Jersey, teve seus computadores invadidos pelo réu, que então explorou o acesso obtido para possivelmente roubar informações confidenciais de cerca de 300 mil clientes em pelo menos 3 ocasiões.

Junior Barros teria então posteriormente enviado ao CEO da empresa uma mensagem de e-mail em setembro de 2020 utilizando um pseudônimo, onde teria exigido o pagamento de 300 bitcoins (cerca de 3,2 milhões de dólares na época) em troca de não vender os dados.

Um mês depois, o réu enviou a mensagem citada acima tanto para o CEO quanto para um executivo da subsidiária brasileira.

Em uma das mensagens enviadas a um executivo da empresa, Junior Barros disse que estava muito interessado em ajudá-los a resolver esta falha de segurança, mas disse que isso custaria uma taxa de consultoria de cerca de 75 bitcoins (800 mil dólares na época). O réu também forneceu instruções sobre como a vítima poderia efetuar o pagamento para uma carteira de bitcoin.

Cada uma das 4 ameaças de extorsão acarreta uma pena máxima de 5 anos de prisão e uma multa de 250 mil dólares ou o dobro do valor de qualquer ganho ou perda, o que for maior.

Da mesma forma, cada uma das 4 acusações por “apenas” enviar mensagens ameaçadoras, acarreta uma pena máxima de 2 anos de prisão e uma multa máxima de 250 mil dólares ou o dobro do valor de qualquer ganho ou perda, o que for maior.

Realmente o crime não compensa. O ser humano é falho. Deixa rastros. Mais cedo ou mais tarde será pego. Então não se anime em achar que é legal invadir ou derrubar sistemas. Por mais que seus objetivos sejam “legais”, as empresas não verão isso com bons olhos.

Quer “invadir” o sistema de uma empresa dentro de um contexto autorizado e ainda ganhar por isso? Faça parte de sistemas de Bug Bounty ofertado por várias empresas. A Hacker One oferece uma lista bem completa destes programas. Já no Brasil temos a Hackaflag e a Bug Hunt, empresas estas que possuem uma plataforma de Bug Bounty utilizada por diversos clientes. Veja este post do Anchises que mostra quais programas estão em curso nas empresas (post de 2022).

Créditos:

https://thehackernews.com/2024/12/brazilian-hacker-charged-for-extorting.html

https://www.justice.gov/usao-nj/pr/brazilian-man-charged-making-extortionate-threats-publicize-stolen-data-obtained