Como o Facebook planejou ataque hacker para ajudar FBI a pegar pedófilo

O Facebook ajudou o FBI a encontrar um pedófilo que usava a plataforma para assediar, ameaçar e extorquir garotas menores de idade. A empresa de Mark Zuckerberg discretamente hackeou o suspeito e entregou as informações às autoridades.

O caso foi exposto pelo site norte-americano Vice e confirmado nesta quinta-feira (11) pelo Facebook. De acordo com funcionários, esta foi a primeira vez que a empresa adotou este tipo de abordagem com um usuário.

Relacionadas

Estudo explica bem por que moderação de conteúdo do Facebook falha tanto

Como fazer videoconferência no Messenger Rooms sem usar conta do Facebook

Receba notícias de Tilt em seu WhatsApp

Buster Hernandez, morador da Califórnia, foi preso no início deste ano, após se declarar culpado de 41 acusações, incluindo produção de pornografia infantil, coerção e sedução de menores, e ameaças de morte e sequestro. Ele está preso aguardando sentença.

Caça ao crime

Por anos, Hernandez utilizou ferramentas de navegação privada, aplicativos de mensagens, email e o Facebook para pedir fotos nuas e vídeos sexuais de dezenas de vítimas, sob chantagem de estupro e violência. Ele também ameaçou tiroteios em massa e bombardeios nas escolas das meninas.

Hernandez, conhecido virtualmente como "Brian Kil", ficou conhecido entre a equipe do Facebook como o pior criminoso a usar a plataforma, segundo dois ex-funcionários disseram à Vice. Era tão hábil em mascarar sua identidade que o Facebook decidiu ajudar a polícia a localizá-lo, em uma decisão considerada controversa dentro da empresa.

Ele usava o Tails, um sistema operacional desenvolvido com base no Debian —uma das distribuições do Linux— focado em privacidade, que roda o software de encriptação Tor. O sistema costuma ser usado por ativistas, jornalistas e sobreviventes de violência e, infelizmente, criminosos.

Segundo ex-funcionários disseram à reportagem, o Facebook escolheu um funcionário para acompanhar os passos de Hernandez por cerca de dois anos e desenvolveu um novo sistema de aprendizado de máquina.

A nova tecnologia foi projetada para detectar usuários que criam novas contas e contatam crianças para aliciá-las. Esse sistema foi capaz de detectar Hernandez e vincular diferentes contas falsas e suas respectivas vítimas a ele.

Mas o Facebook achou que precisava fazer mais, e então tomou uma atitude nova. Contratou especialistas em cibersegurança para, junto a seus engenheiros, desenvolverem um "exploit de dia zero" (um programa que explora falhas de sistema ainda sem correção) para o Tails.

O exploit, que custou ao Facebook no mínimo US$ 100 mil (cerca de R$ 500 mil na cotação atual) usou uma falha no player de vídeo da Tails para conseguir o real endereço de IP do criminoso.

Os desenvolvedores do Tails declararam que o Facebook não os informou sobre as vulnerabilidades —o que seria uma prática cordial. E não se sabe se o FBI estava a par da estratégia.

Crimes hediondos

Os crimes de Buster Hernandez são hediondos. Os arquivos do processo mostram conversas como: "Oi, eu preciso te perguntar algo. Meio importante. Para quantos garotos você mandou nudes? Porque eu tenho uma foto sua aqui".

Quando a pessoa respondia, ele pedia novas fotos e vídeos explícitos, sob ameaça de vazar as tais imagens que ele já tinha para os amigos e parentes da garota. Na verdade, ele não tinha nada. As ameaças, inclusive de estupro e de assassinato de familiares, continuavam por meses ou até anos. Em alguns casos, Hernandez disse para a garota que, se ela se matasse, ele postaria as fotos em páginas memoriais.

"Eu quero deixar um rastro de morte e tiros em sua escola", ele escreveu em 2015. "Eu simplesmente vou entrar sem ser percebido amanhã. Vou matar toda sua turma e deixar você por último. Depois vou me debruçar em você enquanto você chora e grita e pede por clemência, antes de cortar seu pescoço de orelha a orelha."

Privacidade em risco?

O incidente levanta questões sobre o limite das empresas de tecnologia ao decidirem ajudar na aplicação da lei —e se é papel delas fazerem isso.

Por um lado, há questões de privacidade que há anos preocupam os usuários. Por outro, há a demanda pelo combate contra pedofilia, assedio, chantagem e outros crimes nas redes sociais.

Se por um lado até hoje o WhatsApp (pertencente ao Facebook) está sob o olhar do STF para que seja ou não bloqueado no Brasil se recusar quebra de sigilo das mensagens, desde o ano passado a companhia colabora com o MP-SP o acesso a dados sobre crimes cometidos na internet.

Um porta-voz do Facebook declarou à Business Insider que escolheram esta estratégia somente após, por cerca de dois anos, explorar todas as opções dentro da plataforma. E optaram por uma empresa terceira pois não são especializados em construir este tipo de ferramenta, e não queriam deixar a impressão de que desenvolveriam outras no futuro.

"O único resultado aceitável era ter Buster Hernandez sendo julgado e respondendo pelo abuso de menores. Ele estava usando métodos tão sofisticados para esconder sua identidade que tomamos medidas excepcionais de trabalhar com especialistas em segurança para ajudar o FBI a levá-lo à Justiça," declarou um porta-voz do Facebook à Vice. O mesmo comentário foi enviado pela representação do Facebook no Brasil como resposta aos pedidos de entrevista de Tilt.

De acordo com a empresa, não havia nenhum risco de segurança ou privacidade para outros usuários: apenas para o criminoso. Na última atualização do Tails, a vulnerabilidade foi corrigida.