O hacker brasileiro que irritou a Telefônica
ÉPOCA conversou com Vinícius Camacho, o K-Max, que foi indiciado por ter invadido o banco de dados da empresa de telefonia
Bruno Ferrari
Vinicius Camacho
Indiciado pela Telefônica por expor uma falha do sistema da empresa e informações pessoais de seus clientesO programador Vinícius Camacho, de 28 anos, é um conhecido hacker brasileiro. K-Max, seu codinome no mundo da internet, tem em seu currículo ataques famosos, como o roubo de comunidades do Orkut, ocorrido em 2005. Ele se considera um hacker do bem, apenas um "fuçador", e diz usar seus conhecimentos técnicos apenas para alertar as empresas em relação à vulnerabilidade de seus sistemas e não para obter algum retorno financeiro ilegal. Com este objetivo, ele encontrou uma falha no banco de dados dos clientes da Telefônica e decidiu exibi-la. Criou um site com uma lista com dados parciais de clientes da operadora, como, por exemplo, algumas letras dos nomes e parte do CPF. A empresa deu queixa. K-Max recebeu a visita de agentes da Polícia Civil na noite desta quarta-feira (19) que vasculharam seu apartamento em busca de provas. Se condenado, Camacho pode pegar até quatro anos de prisão pelo crime de divulgação de segredo. Confira agora a entrevista que K-Max concedeu a ÉPOCA, contando o que aconteceu:
ÉPOCA – Por que você atacou o site da Telefônica?
Vinícius Camacho – Sou cliente do serviço Speedy, não por opção, mas por falta de. Moro no interior do estado e não há outros serviços de banda larga aqui. Como cliente, estava navegando pelo site justamente pra tentar me informar sobre as instabilidades no serviço. De repente, resolvi testar se o sistema estava vulnerável a uma SQL Injection, que é uma falha que permite enviar comandos diretamente para o banco de dados do site sem exigir o uso de qualquer ferramenta além do próprio navegador. Para o meu espanto, constatei a vulnerabilidade e, a partir daí, fiz questão de ver quão grave ela era.
ÉPOCA – E como você fez isso?
Camacho – Foi assim que notei que os dados dos clientes poderiam ser acessados por qualquer pessoa com conhecimento dessa técnica. Falhas de segurança não escolhem exploradores. Se o bem intencionado não descobri-la primeiro, o mal intencionado certamente o fará. Depois que coloquei um site no ar denunciando a vulnerabilidade, a falha ficou disponível durante cerca de um mês. Passado esse tempo, resolvi entrar em contato com uma jornalista que publicou a história e chamou atenção para o problema.
ÉPOCA – Qual foi a reação da Telefônica?
Camacho – A resposta dela foi aparentemente tentar abafar a história. Ela apenas fechou a vulnerabilidade e jamais entrou em contato.
ÉPOCA – E quando você recebeu a notícia de que havia sido indiciado?
Camacho – Não recebi notícia alguma. Chegaram chegando ontem.
ÉPOCA - Como foi a abordagem. Você estava em casa e a polícia chegou? O que foi apreendido?
Camacho - Creio que foi a abordagem de praxe de qualquer mandado de busca e apreensão. Fui surpreendido, claro.
ÉPOCA - O que acontecerá com você agora?
Camacho - Me defenderei contando os verdadeiros fatos e esperando que a Justiça seja feita.
ÉPOCA – O que o levou a se tornar um hacker?
Camacho – Mais do que um programador, sempre fiz questão de ser um "fuçador" e acabei me apaixonando pela área de segurança. Sempre tive o cuidado de não ser um "programador funcional", que é o cara que abandona um sistema após vê-lo funcionando. Esse é o grande erro cometido pela maioria, infelizmente. Ocasionalmente, já identifiquei falhas em sites de grandes empresas. Parte dos sites foi informada, mas muito poucos responderam ao e-mail ou sanaram o problema. E também chega uma hora em que você percebe que todos estão vulneráveis. Setenta por cento dos sites têm alguma vulnerabilidade. Para mim esse número é alarmante o suficiente para que programação ensinada em livros e cursos seja totalmente repensada. Como programador, já trabalhei pra empresas grandes e pequenas. Atualmente sou freelancer, o que me deixa mais tempo pra estudar segurança e fazer alguns testes de penetração (que é uma auditoria prática, em que o profissional é contratado para simular o ataque real de um hacker).
Saiba mais
»7 tendências de nossa vida digital
»Telefônica em crise?
»Telefônica aceita recomendação do Ministério Público para que não cobre multa por rescisão do Speedy
»Telefônica apresenta plano para melhorar Speedy
»Anatel proíbe Telefônica de comercializar Speedy
ÉPOCA - Vemos casos em outros países de hackers que foram contratados pelas empresas atacadas, para trabalhar em suas área de segurança da informação. Por que você ache que isso nao aconteceu com você?
Camacho - Talvez porque a Telefônica não tenha mesmo o interesse de investir em segurança.
ÉPOCA - Depois disso, você pretende continuar buscando brechas em redes de empresas poderosas, como a Telefônica?
Camacho - Independentemente de eu continuar ou não, outros continuarão buscando e a maioria deles não avisará a imprensa. Como sempre foi. Então é bom que as empresas comecem a levar a segurança dos seus dados e a privacidade dos seus clientes muito mais a sério.
ÉPOCA – Você também ficou conhecido por ter atacado o Orkut, em 2005, quando roubou algumas comunidades importantes da rede social? Você chegou a sofrer alguma consequência legal?
Camacho – Não. As pessoas entenderam que eu estava bem intencionado e queria alertar para uma falha, e não tirar vantagem roubando comunidades. Tanto que as comunidades foram devolvidas poucos dias após a ação. Resumindo o que aconteceu: existia uma falha publicamente conhecida no navegador Internet Explorer. A falha era pública há mais de um mês e a Microsoft ainda não havia corrigido o problema. Paralelo a isso, o Orkut permitia a transferência permanente de comunidades baseando-se apenas nos cookies da sessão atual dos usuários (que são dados que fazem com o que o site saiba quem é você enquanto você navega por ele). Como a falha no Internet Explorar permitia justamente a cópia desses cookies, pronto, tínhamos um cenário de exploração gravíssima no Orkut.
ARVÃO | SP / São José dos Campos | 23/08/2009 13:03
HACKER, CRACKER OU CREAM CRACKER
Independentemente deste jovem ser hacker, cracker ou coisa que o valha, o correto é que os nossos sistemas são bem vulneráveis, muito vulneráveis mesmo, até para os que se dizem "seguros". Que a TELEFONICA, a empresa espanhola que quer que o brasileiro " se lixe", até que se prove o contrário, não está "nem aí" com os seus clientes... após uma pressão amiga da ANATEL resolveram fazer alguma coisa em sua rede... alguma coisa "de leve" como dizia o Ibrahim Sued., este rapaz não deve ser preso em hipótese alguma... quem deveria ser detido e permanecer acessando o SPEED de dentro do xilindró, teria que ser os altos executivos desta toureadora, que arrecada milhões neste país e não o reaplica em benefício deste povo. Não estou parabenizando o rapaz, mas estou dizendo que se aparecer alguém do mal e vai ou está aparecendo, estaremos, mais uma vez perdidos. Fiquem atentos...
.gif)
internautas online 
Nenhum comentário:
Postar um comentário