Motivações do ataque parecem longe de ser políticas e financeiras. Como líderes devem se atentar às vulnerabilidades humanas?
A engenheira de software Paige Thompson foi presa no final de julho, acusada de ligação com um ataque hacker que expôs os dados de 100 milhões de clientes de cartões de crédito, contas bancárias e de serviços sociais do banco Capital One. Thompson, que na época da prisão dirigia uma empresa chamada Netcrave Communications, havia realizado uma série de trabalhos de engenharia, incluindo para a Amazon Web Services (AWS) em 2015 e 2016, onde presumivelmente adquiriu as habilidades para explorar uma vulnerabilidade no servidor da instituição financeira.
Aparentemente, a invasão ao Capital One foi apenas um dos muitos hacks de Paige Thompson. Promotores federais dos Estados Unidos dizem que a engenheira atingiu mais de 30 outras entidades, incluindo empresas e instituições de ensino. Postagens online de Thompson obtidas pelo Wall Street Journal sugerem que esses outros alvos podem incluir a Ford Motor Co., o UniCredit (o maior banco da Itália) e a Michigan State University.
Um dos pontos interessantes da história é que os esforços de hacking de Thompson se destacam da grande maioria dos hacks importantes da última década, já que suas motivações parecem não ser políticas ou financeiras. Suas ações também se destacam de outras grandes violações e roubos de dados porque a engenheira, ao contrário da maioria dos hackers, deixou uma extensa pista de evidências públicas de que ela não estava envolvida apenas nessas atividades maliciosas. Na verdade, Thompson era bastante ativa em sua conta do Twitter, agora removida, deixando claras as suas intenções criminosas.
Seu oversharing não estava restrito ao Twitter. O endereço do GitHub que Thompson usou para postar arquivos roubados do Capital One inclui o seu nome completo “Paige A. Thompson” com um link para o seu currículo real. Sob o pseudônimo “erratic” (que também era seu identificador de conta do Twitter) conectado ao seu nome real, Thompson comandava um grupo hacker com um canal Slack através do qual alegava ter arquivos associados ao hack do Capital One e fazia outras declarações incriminatórias que poderiam ser rastreadas.
Os planos de Thompson e a sua luta por saúde mental estavam abertos para todos verem. Amigos dizem que ela luta contra a depressão e com os desafios de ser uma mulher trans. Com todo o alerta surge a pergunta: havia alguma forma pela qual o Capital One ou a AWS ou qualquer outra empresa poderia ter tomado medidas para se proteger de um hacker habilidoso como Thompson?
John McAlaney, professor associado de psicologia da Universidade de Bournemouth, no Reino Unido, estudou o papel dos fatores humanos no cibercrime, no hacktivismo e no protesto social online. Ele diz que pode ser muito difícil estabelecer defesas contra hackers que não têm as motivações usuais “porque a escolha do alvo não é particularmente lógica”. Para alguns hackers, a motivação é financeira, então eles escolhem alvos que têm dinheiro ou dados, explica o especialista.
Alguns hackers buscam prestígio, para serem os melhores entre o grupo. Outros o fazem porque acham engraçado ou estão buscando algum tipo de benefício de relações públicas. Em outras ocasiões, o alvo é “completamente aleatório” e o hacker o escolhe porque “a empresa parece um alvo fácil”, segundo McAlaney. Portanto, por causa de todas essas motivações, um dos passos mais importantes que uma empresa pode tomar para se defender contra um hacker como Thompson é “estar muito consciente de sua própria reputação e não ser visto como propenso a hackers”, diz o especialista.
Se o pretenso hacker for um colaborador da empresa, atente para os trabalhadores estressados. “As pessoas que demonstram estresse no trabalho podem ser um sinal de alerta”, afirma McAlaney. Embora muito poucos funcionários estressados se transformem em agentes maliciosos, “um hacker externo pode explorar pessoas estressadas no trabalho. É exatamente nisso que um hacker vai mirar. Você também precisa ter sistemas em que as pessoas possam relatar as coisas de maneira segura, sem pensar que seus próprios empregos estão em perigo”, acrescenta.
Quanto a saber se Thompson, com seu oversharing público, estava inconscientemente implorando para ser pega, McAlaney diz que poderia ser o caso. Ele também observou que “em muitos hackers, há muita confiança a ponto de ser arrogante. Há muitos hackers que superestimam sua própria capacidade e subestimam a capacidade de aplicação da lei para identificá-los”.
O professor Jason Hong, da Escola de Ciência da Computação e do Human Computer Interaction Institute da Universidade Carnegie Mellon, afirma que Thompson representa “um tipo incomum de ameaça interna, que não é impulsionada pelos fatores típicos de dinheiro, prestígio ou vingança”.
Ele também afirma que “nunca ouviu falar de nenhum tipo de defesa contra isso”. Ter bons processos como revisões de código e backups sempre ajudará, “mas eventualmente você precisa ter algum nível de confiança em seus funcionários, caso contrário eles não seriam capaz de fazer o seu trabalho”.
No final, no entanto, é possível que mesmo Thompson não saiba por que ela invadiu o Capital One, particularmente devido ao seu sofrimento emocional na época do hack. Em um estudo sobre as motivações de hackers publicadas no Cybercrime Journal, “hackers maliciosos relatam motivações das quais frequentemente ouviram falar e subsequentemente incorporaram em seu próprio conjunto mental de representações desses sentimentos”, o que significa que eles criaram sua motivação para hackear depois do fato. McAlaney concorda. Durante muito tempo os hackers vão criar “uma razão, política ou ideológica” após o crime “mas muitas vezes a motivação é aleatória”.
