Um hacker tá oferecendo US$ 100 mil para quem hackear bancos e companhias petroleiras

Um famoso hacker justiceiro, conhecido por seus ataques a empresas de vigilância, lançou um novo tipo de recompensa para hacktivistas que hackearem e vazarem informações de interesse público.

O hacker, conhecido como Phineas Fisher, publicou um novo manifesto na sexta-feira, oferecendo pagar até US$ 100 mil para hackers no que ele chamou de “Hacktivist Bug Hunting Program”. A ideia é pagar outros hackers para realizar ataques politicamente motivados contra companhias, ataques que possam levar a divulgação de documentos de interesse público. O hacker disse que vai pagar em criptomoedas, como Bitcoin ou Monero. Como exemplo de alvos, o hacker mencionou empresas de mineração e agropecuária da América do Sul, o vendedor de spyware israelense NSO Group e a petroleira Halliburton.

“Hackear para obter e vazar documentos de interesse público é um dos melhores jeitos como hackers podem usar suas habilidades para beneficiar a sociedade”, Phineas Fisher escreveu no manifesto. “Não estou tentando deixar ninguém rico. Estou tentando fornecer fundos suficientes para que hackers possam ganhar a vida decentemente fazendo um bom trabalho.”

Deixando claro, essa é basicamente uma recompensa que inventiva atividade criminosa. Bug bounty programs são realizados por empresas para encorajar pesquisadores de segurança a encontrar bugs em seus softwares, para poderem ser consertados e tornar seus serviços mais seguros. Outros programas do tipo são comandados por empresas terceirizadas como a Zerodium, que paga hackers para encontrar bugs em softwares como iOS, Android ou Chrome, e os revendem para governos.

Phineas Fisher é um dos hacktivistas mais influentes e conhecidos desde os dias do Anonymous e LulzSec. Em 2014, o hacker roubou dados internos do provedor de segurança anglo-alemão Gamma Group, que fez o polêmico spyware FinFisher. Um ano depois, Phineas Fisher invadiu os servidores do Hacking Team, uma empresa italiana que faz softwares hackers e de vigilância para agências policiais e de inteligência do mundo todo, expondo os segredos da companhia. O hacktivista atacou um sindicato da polícia espanhola e o partido da situação da Turquia em 2016. A identidade do hacker nunca veio a público – mesmo depois de investigações extensivas do ataque ao Hacking Team, autoridades italianas admitiram que não têm ideia de quem é Phineas Fisher.

Depois desses ataques, Phineas Fisher publicou manifestos sobre como os realizou, numa tentativa de inspirar outros hackers a lançar ataques politicamente motivados. Aí o hacker anunciou que faria uma pausa para lidar com estresse, e não voltou a dar as caras na internet até este ano.

Sua motivação não parece ter mudado nos últimos anos: hackear para o bem, e inspirar outros a seguir seu exemplo.

“Acho que o hackear é uma ferramenta poderosa, e hacktivismo só foi usado com uma fração de seu potencial”, Phineas Fisher disse a Motherboard. “E um pequeno investimento pode ajudar a desenvolver isso, os anos dourados [do hacktivismo] ainda estão por vir.”

Em seu novo manifesto, Phineas Fisher também afirmou ter hackeado um banco num paraíso fiscal e pediu que outros hacktivistas se juntem a ele na luta contra a desigualdade e o capitalismo. O hacker disse que, em 2016, ele hackeou o Cayman Bank and Trust Company da Ilha de Man, uma ilha entre o Reino Unido e Irlanda do Norte. O hacker disse que conseguiu roubar dinheiro, documentos e e-mails do banco. Ele não revelou quanto dinheiro roubou, mas mencionou “algumas centenas de milhares” de dólares.

“Roubei o banco e dei o dinheiro”, Phineas Fisher escreveu no manifesto. “Hackear é uma ferramenta poderosa para combater a desigualdade econômica.”

O hacker compartilhou os documentos e e-mails do banco no site de vazamentos Distributed Denial of Secrets, comandado pela jornalista e ativista Emma Best, que disse que ele subiu 640 mil e-mails, no que é “a visão mais detalhada das atividades internas de bancos internacionais a que o público já teve acesso”.

Argumentando sobre por que é justificado vazar e-mails internos de bancos, Phineas Fisher escreveu que “privacidade para os poderosos não é a mesma coisa, quando isso permite que eles evadam limites de um sistema em si criado para dar privilégios a eles; e privacidade para os fracos, que os protege de um sistema concebido para explorá-los”.

O Cayman Bank and Trust Company não respondeu nossos pedidos de comentário.

O ataque hacker contra o banco da Ilha de Man é a quinta violação de dados assumida publicamente por Phineas Fisher. Como fez nos ataques anteriores, o hacker escreveu um guia detalhado sobre como conseguiu realizar o ataque para ensinar outros a realizar ações similares, e mostrar que é possível usar técnicas hacker para roubar bancos.

“Na era digital, roubar um banco é um ato não-violento, menos arriscado e a recompensa é maior que nunca”, ele escreveu. “Nenhum dos hacks financeiros que realizei, ou de que soube, foram informados para as autoridades. Esse é o primeiro, e não porque o banco quis, mas porque decidi publicá-lo.”

Phineas Fisher disse que já deu quase todo o dinheiro que roubou do banco da Ilha de Man, mas que tem mais dinheiro de um ataque recente ainda secreto para pagar a recompensa. O hacker explicou que invadiu o Cayman Bank and Trust Company usando o mesmo truque que usou contra o Hacking Team: visando uma rede virtual privada e dispositivo de firewall vulneráveis. Depois de invadir o vendedor de spyware, Phineas disse que escaneou a internet por outros VPNs vulneráveis e descobriu vários bancos que os usavam. O nome do banco, Cayman, chamou a atenção dele, segundo o manifesto.

Era o suficiente para fazer da instituição um exemplo.

“A elite financeira global é a opressora, não a vítima […] Hackear essa elite e devolver pequenas frações da riqueza que eles roubaram não os torna vítimas”, me disse Phineas Fisher. “É um crime cibernético. É motivado por um desejo de mudança social, e não estou lucrando ou me beneficiando pessoalmente disso.”

Tem uma dica de ataque hacker ou incidente de segurança? Entre em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal em +1 917 257 1382, cha t OTR em lorenzofb@jabber.ccc.de, ou pelo e-mail lorenzofb@vice.com.

Se inscreva no nosso podcast de cibersegurança, CYBER.

Siga a VICE Brasil no Facebook, Twitter, Instagram e YouTube.