“O bichinho do hacking começou no secundário”, começa por contar Vítor Oliveira, 25 anos, ao Observador. É um dos três amigos que dedicaram parte do tempo livre a encontrar falhas de segurança nas aplicações da empresa de transporte Uber. O passatempo rendeu-lhes 18 mil dólares, pouco mais de 16 mil euros. Não chega para ficarem ricos mas foi um pagamento “justo” em relação ao tempo despendido, considera Filipe Reis, de 27 anos.
O terceiro amigo, Fábio Pires, 27 anos, começou cedo a testar capacidades de hacker. “Com 16 ou 17 anos fiz um ataque man-in-the-middle. Intercetei o tráfego das pessoas que estavam a tentar aceder a uma rede wireless. Mas foi para teste, só. Não foi nada ilegal”, garante. Também com essa idade, Vítor Oliveira entrava nos computadores dos colegas “por divertimento”. E Filipe Reis, também no secundário, já “tentava ter o controlo da própria máquina através do envio de um ficheiro PDF infetado”, recorda.
Foram os primeiros passos no mundo dos testes à segurança informática. Hoje, Filipe, Vítor e Fábio fazem disso profissão e trabalham numa empresa de cibersegurança, a Integrity. São pentesters, testam sistemas informáticos. “Ou seja, tentamos encontrar falhas de segurança e ajudamos a corrigi-las”, explica Fábio. “O que nós fizemos para a Uber é algo que fazemos todos os dias”, confessa. Mas afinal, o que fizeram? Analisaram trechos das aplicações da Uber e encontraram 15 falhas de segurança. Tudo de forma legal. Desde 23 de março que qualquer pessoa o pode fazer. “Depois, pagam por isso”, acrescenta Vítor.
Quanto (e como) ganharam
A Uber pagou cinco mil dólares — quase 4.500 euros — por cada uma das três “vulnerabilidades graves” encontradas. Duas estavam relacionadas com a exposição dos dados pessoais dos clientes — identificador único do utilizador, endereço de e-mail, número de telefone e até fotografia (se a conta tivesse uma imagem de perfil associada). Dados que poderiam ser usados de forma maliciosa. A terceira surgiu enquanto procuravam falhas relacionadas com os cupões de desconto que muitos utilizadores recebem ao convidarem amigos para que se tornem clientes do serviço. “Conseguimos descobrir os cupões válidos” através de um ataque de brute force, por tentativa e erro.
<i>Brute Force</i>
↓ Mostrar
↑ Esconder
É uma forma de aceder a um código, decifrando-o através de tentativa e erro.
No caso de um código de quatro dígitos, o computador calcula todas as combinações possíveis de quatro algarismos (de forma automática e recorrendo a muito poder de computação). Uma das hipóteses será a correta.
Porém, de nada lhes rendeu essa falha. “O que nos responderam foi que esses dados eram públicos.” Mas Filipe, Vítor e Fábio não desistiram. Continuaram e encontraram “um cupão que nem a própria equipa de segurança da Uber sabia que existia”, conta Vítor. Chamava-se Emergency Ride Home e era “um cupão privado” no valor de 100 dólares, comprado por uma empresa para ser usado em situações de emergência. Não o usaram, mas mostraram à Uber que conseguiam aceder tanto a cupões públicos como privados. A empresa pagou ainda três mil dólares — mais de 2.600 euros — por outra falha que lhes permitia ver a última viagem realizada por determinado motorista.
“”O hacking não é só tentar quebrar um sistema. Às vezes, é pensar de forma mais abrangente.” — Fábio Pires
Neste momento, os dados dos utilizadores da Uber “estão mais seguros do que estavam há três meses”, garantem. Dizem-no sem entrarem em grandes detalhes porque quatro das 15 falhas de segurança ainda não foram resolvidas: “Há vulnerabilidades por corrigir e não podemos falar delas”, remata Vítor. “A nossa boa prática, que é ajudar a empresa a corrigi-las, iria por água abaixo. Não é ético”, acrescenta ainda Fábio.
Os hackers ‘bonzinhos’
Os três amigos são hackers, mas não tentam aceder a sistemas só para provar que o conseguem fazer. Veem o que fazem como um processo que implica dois tipos de raciocínio: o técnico e o lógico. O raciocínio técnico aplica-se quando se recorre a um ataque de força bruta (brute force, como no caso dos cupões) e que implica meios, ou seja, computadores com capacidade de computação para tal. Já o raciocínio lógico implica “tentar perceber como é que o programador pensou” e encontrar erros que este possa ter cometido. “Esse é também o maior desafio de um hacker. O hacking não é só tentar quebrar um sistema. Às vezes, é pensar de forma mais abrangente”, diz Fábio.
Um ponto de vista que outros hackers não partilham. “Como às vezes aparece nas notícias, os Anonymous tentaram atacar um site XPTO. Em vez de estarem a fazer ilegalidades, podiam usar a sabedoria para ganhar dinheiro e reconhecimento”, defende Vítor. Os três amigos concordam ainda num ponto: são hackers ‘bonzinhos’, ao contrário dos Anonymous que “nem são bem um grupo”: esses “são uma ideologia e há pessoas que, ao abrigo dessa ideia, fazem o que querem e identificam-se como Anonymous. Se calhar, cá em Portugal, dizem-se Anonymous mas estão a tentar atacar o site da Junta de Freguesia só porque sim”, considera Fábio. “Acho que há melhor maneira de passar o tempo”, remata Filipe.
E porquê ‘atacar’ a Uber?
Para os três amigos, uma boa — e rentável — forma de passar o tempo é dedicar-se ao bug bounty, ou seja, encontrar falhas de segurança a troco de dinheiro. Como fizeram com a Uber. Escolheram a empresa por duas razões. Por um lado, porque “é uma empresa bastante falada, muito por causa das guerras com os taxistas”. Por outro, porque permitiram o acesso legal a partes dos códigos das aplicações e por ser uma das empresas que melhor paga, segundo Filipe, Vítor e Fábio.
Para já, não têm planos concretos para o dinheiro. Mas já têm algumas ideias sobre como ocupar os próximos tempos livres: talvez a ‘caçar’ brechas de segurança num site de pornografia bem conhecido. “O Porn Hub está a pagar 15 mil euros. E é o mais recente. Já apareceram cento e tal falhas. Bom, estava a brincar. É uma questão de termos tempo e vontade. Mas vontade há sempre…”, diz Fábio, meio a sério, meio a brincar. É que estão a terminar mais uma certificação em informática e não preveem ter muito tempo livre nos próximos meses. Além disso, a fonte da Uber ainda não secou, pois vão reportar mais falhas. E quanto ao dinheiro? “Ainda estamos à espera de mais”, atira Vítor.