O ataque de hackers ao Twitter, que aconteceu em julho, ainda é um ponto de discussão muito importante sobre a segurança dessas plataformas. A dúvida é: como as autoridades conseguiram descobrir quem eram os hackers do Twitter?
Entre recompensas pelos hackers e uma investigação cinematográfica, três hackers foram presos, incluindo um adolescente de 17 anos. A investigação foi liderada pelo FBI, que utilizou uma série de ferramentas e cruzamentos de dados para encontrar os culpados, como foi contado no site HackRead.
Até o momento 3 pessoas foram acusadas de participação no ataque. Cada um tinha um apelido diferente no Discord, isso foi essencial para que todos acabem sendo descobertos pela investigação.
Os hackers se identificavam no Discord como:
- Rolex#0373 – Nima Fazeli, 22 anos, morador de Orlando, Flórida
- anxious#001/Chaewon – Mason John Sheppard, 19 anos, morador do Reino Unido.
- Kirk#5270 – Graham Ivan Clark, 17 anos, de Tampa, Flórida.
A história começou de fato com Graham entrando em contato com os outros dois golpistas, afirmando que era um funcionário do Twitter. Dessa forma, poderia garantir acesso a qualquer conta da plataforma.
Uma vez convencidos, os dois ajudaram Graham a vender esses acessos em mercados negros na dark web. Foi a partir desses mercados ilegais que o FBI conseguiu as primeiras pistas que levaram à prisão dos três.
FBI usou dados vazados do mercado negro para chegar nos hackers do Twitter
Como mostrando pelo Hackread, Nima e Mason ajudaram Graham a vender o acesso para diferentes contas no Twitter em fóruns do mercado negro, um deles foi o OGUsers, conhecido por vender produtos ilegais.
No entanto, o esse mercado acabou sofrendo um vazamento de dados em maio de 2019 e abril de 2020, expondo o e-mail de milhares de usuários. Um desses e-mails era o de Nima.
Com isso, o FBI pôde comparar o e-mail registrado no mercado negro com o e-mail que Nima passou à Graham no Discord e as pistas começaram a fazer sentido.
O próximo passo foi continuar investigando nessa linha para ver se o suposto e-mail de Nima tinha outra ligação com o ataque.
Para isso, o FBI contou com a ajuda da Coinbase para investigar um dos endereços de Bitcoin que Nima utilizou no OGUsers. A investigação descobriu que um endereço ligado a esse e-mail tinha recebido mais de 1.900 transações de Bitcoin no período próximo ao hack. Além disso, por causa dos requerimentos de KYC da Coinbase, a plataforma pôde enviar ao FBI uma foto da carteira de motorista de Graham.
O último passo foi verificar o IP usado para acessar o Discord e a Coinbase, ambos eram o mesmo, selando o destino de Nima. John foi capturado da mesma maneira, curiosamente também tendo a sua carteira de motorista no banco de dados da Coinbase.
O processo foi similar contra Graham, que confessou ser o terceiro hacker quando o cerco começou a fechar contra ele.
Por fim, os três estão em custódia da polícia, com John podendo pegar 42 anos de cadeia, Nina podendo pegar até 5 e Graham sendo julgado especialmente como maior de idade.