Um conhecido hacker que era um dos criminosos mais procurados da Europa foi preso por chantagear 33 mil pessoas, ameaçando publicar online as anotações das suas sessões de terapia.
A prisão de Julius Kivimäki põe fim a uma onda de crimes cibernéticos de 11 anos, que começou quando ele ganhou notoriedade em uma rede de gangues anarquistas de hackers adolescentes, quando ele tinha apenas 13 anos.
A seguir, conheça o caso.
Tiina Parikka estava se refrescando depois de fazer sua habitual sauna de sábado à noite, na Finlândia, quando recebeu uma notificação no telefone.
Era um e-mail de um remetente anônimo, que de alguma forma tinha seu nome, número de seguro social e outros detalhes privados.
"Inicialmente, fiquei impressionada com o quão educado era, como o tom era amistoso", relembra.
"Prezada Sra. Parikka", escreveu o remetente, antes de contar que havia obtido suas informações privadas em uma clínica de psicoterapia da qual ela era paciente.
Quase se desculpando, o autor do e-mail explicava que estava entrando em contato diretamente porque a clínica estava ignorando o fato de que dados pessoais haviam sido roubados.
Dois anos de registros minuciosos feitos por seu terapeuta durante dezenas de sessões estavam agora nas mãos deste chantagista desconhecido.
Se ela não pagasse o valor solicitado dentro de 24 horas, todas as anotações seriam publicadas online.
"Foi uma sensação sufocante", diz ela. "Eu estava sentada lá, de roupão, sentindo como se alguém tivesse invadido meu mundo privado e estivesse tentando ganhar dinheiro com os traumas da minha vida."
Tiina percebeu rapidamente que não estava sozinha.
Um total de 33 mil outros pacientes de terapia também tiveram seus registros roubados — e milhares foram chantageados, o que resultou no processo criminal com o maior número de vítimas na Finlândia.
O banco de dados roubado dos servidores da Vastaamo, rede finlandesa de clínicas de psicoterapia, continha os segredos mais íntimos de uma grande parte da sociedade, incluindo crianças. Conversas delicadas sobre assuntos que iam desde casos extraconjugais até confissões de crimesn estavam sendo usadas como moeda de troca.
Mikko Hyppönen, da empresa finlandesa de segurança cibernética WithSecure, que pesquisou o ataque, conta que o caso teve repercussão e alimentou o noticiário durante dias no país.
"Um ataque hacker com esta dimensão é um desastre para a Finlândia — todo mundo conhecia alguém afetado", diz ele.
Tudo isso aconteceu em 2020, durante os lockdowns impostos em decorrência da pandemia de covid-19, e o caso surpreendeu o mundo da segurança cibernética.
O impacto dos e-mails foi imediato e devastador. A advogada Jenni Raiskio representa 2,6 mil vítimas e, durante julgamento, ela disse que seu escritório havia sido contratado por pessoas cujos parentes haviam tirado a própria vida depois que seus registros foram publicados online. Ela liderou um momento de silêncio no tribunal pelas vítimas.
O chantagista, identificado apenas como "ransom_man" por sua assinatura online, exigia que as vítimas pagassem 200 euros (cerca de R$ 1.090) no prazo de 24 horas, — do contrário, ele publicaria suas informações. Se não cumprissem este prazo, ele aumentaria o valor para 500 euros (R$ 2,7 mil).
Cerca de 20 pessoas pagaram antes de perceber que já era tarde demais. Suas informações haviam sido publicadas no dia anterior, quando "ransom_man" vazou acidentalmente todo o banco de dados para um fórum na dark web.
Está tudo lá até hoje.
Mikko e sua equipe passaram um tempo rastreando o hacker e tentando ajudar a polícia. Foi quando começaram a surgir teorias de que o hacker provavelmente seria da Finlândia.
Uma das maiores investigações policiais da história do país chegou a um jovem finlandês que já era conhecido no mundo do crime cibernético.
Onda de crimes de 'Zeekill'
Kivimäki, que se autodenominava Zeekill quando era um hacker adolescente, não se tornou a figura conhecida que é por ser cuidadoso.
Na adolescência, ele só queria saber de hackear, extorquir e se gabar o mais alto possível. Ao lado das equipes de hackers Lizard Squad e Hack the Planet, ele se deleitava ao causar o caos no período extremamente ativo de hackers adolescentes da década de 2010.
Kivimäki era um dos protagonistas, realizando dezenas de grandes ataques até que foi preso em 2014, aos 17 anos, e posteriormente considerado culpado de 50.700 casos de invasão de computadores.
Mas ele não foi preso. Sua suspensão condicional da execução da pena de dois anos gerou controvérsia, e foi criticada por muitos no mundo da segurança cibernética. Apesar das sentenças notoriamente brandas da Finlândia, o receio era que Kivimäki e seus cúmplices — em sua maioria, outros adolescentes espalhados pelo mundo de língua inglesa — não fossem dissuadidos.
Assim como muitos de seus colegas durante este período tumultuado, Kivimäki não pareceu deixar os problemas com a polícia detê-lo.
Após sua prisão, e antes de sair sua sentença, ele realizou um dos ataques mais audaciosos de qualquer gangue de hackers adolescentes.
Ele e o Lizard Squad deixaram as duas maiores plataformas de games offline na véspera e no dia de Natal.
A Playstation Network e o Xbox Live foram derrubados depois que seus serviços foram atingidos por uma técnica pouco sofisticada, mas poderosa, conhecida como ataque distribuído de negação de serviço. Dezenas de milhões de jogadores foram impedidos de baixar jogos, registrar novos consoles ou jogar com amigos online.
Kivimäki ganhou a atenção da imprensa mundial e até aceitou me dar uma entrevista para o canal de televisão Sky News, na qual não demonstrou nenhum remorso pelo ataque.
Outro hacker que também era da gangue Lizard Squad disse à BBC que Kivimaki era um adolescente vingativo que adorava se vingar de rivais e mostrar suas habilidades online.
"Ele era muito bom no que fazia, e não se importava com as consequências. Ele sempre ia mais além que os outros nos ataques."
"Apesar da atenção que havia sobre ele, ele fazia ameaças de bomba e passava trotes sérios sem disfarçar a voz", conta Ryan, que não quis divulgar seu sobrenome porque ainda é desconhecido das autoridades.
Além de Kivimäki ter sido vinculado a alguns ataques hackers de menor escala após sua sentença, praticamente não se ouviu falar dele durante anos, até que seu nome foi ligado ao ataque à clínica de psicoterapia Vastaamo.
Alerta vermelho emitido
A polícia finlandesa demorou quase dois anos para reunir provas no intuito de emitir um alerta vermelho de busca na Interpol (polícia internacional) para Kivimäki — e ele se tornou um dos criminosos mais procurados da Europa. Mas ninguém sabia onde estava o jovem de 25 anos.
Ele foi localizado por acaso em fevereiro passado, quando a polícia de Paris foi ao seu apartamento após receber uma chamada falsa sobre briga doméstica. Eles descobriram que Kivimäki vivia com documentos de identidade falsos.
O jovem foi extraditado rapidamente para a Finlândia, onde a polícia começou a se preparar para um dos julgamentos mais importantes da história do país.
O detetive Marko Leponen liderou a investigação de três anos — e, segundo ele, foi o maior caso de sua carreira.
"Tivemos mais de 200 policiais no caso em determinado momento, e foi uma investigação intensa com muitos depoimentos e histórias de vítimas para analisar."
O julgamento de Kivimäki foi uma notícia importante para o país, acompanhado de perto por jornalistas locais — e, inclusive, pela imprensa internacional, que compareceu para ouvir seu depoimento.
Eu estive no tribunal no primeiro dia em que ele depôs, quando manteve sua declaração de inocência com calma e com piadas ocasionais direcionadas ao tribunal em silêncio.
Mas as evidências contra ele eram esmagadoras.
Leponen diz que vincular a conta bancária de Kivimäki ao servidor usado para baixar os dados roubados foi crucial.
Seus agentes também usaram novas técnicas forenses para extrair a impressão digital de Kivimäki de uma foto anônima que ele postou sob um pseudônimo online.
"Conseguimos provar que essa pessoa anônima que postou no fórum era Kivimäki. Foi inacreditável, mas mostra que é preciso usar todas as medidas que conhecemos, e tentar aquelas que não conhecemos", explica Leponen.
No final, os juízes deram o veredito, declarando-o culpado de todas as acusações.
O tribunal considerou Kivimäki culpado de mais de 30 mil crimes — um para cada vítima.
Ele foi acusado de violação de dados qualificada, tentativa de chantagem qualificada, 9.231 disseminações qualificadas de informações violando a vida privada, 20.745 tentativas de chantagem qualificadas e 20 chantagens qualificadas.
Ele foi condenado a seis anos e três meses de prisão (a pena máxima era de sete anos), mas é provável que cumpra apenas metade, devido ao tempo já cumprido e ao sistema de justiça finlandês.
Para as vítimas, como Tiina, não é tempo suficiente.
"Tanta gente foi afetada por isso de tantas maneiras — 33 mil pessoas são muitas vítimas. Isso afetou nossa saúde, e algumas pessoas foram alvo de golpes financeiros também usando os dados roubados", diz ela.
Enquanto isso, ela e as outras vítimas aguardam para ver se vão obter algum tipo de indenização.
Kivimäki concordou, em princípio, em chegar a um acordo extrajudicial com um grupo de vítimas, mas outras estão planejando entrar com processos civis contra ele ou contra a própria Vastaamo.
A clínica de psicoterapia está extinta agora, e seu fundador foi condenado por não proteger os dados dos pacientes, com suspensão condicional da execução da pena. Kivimäki não contou à polícia quanto dinheiro ele tem em bitcoins, e afirma ter esquecido os detalhes de sua carteira digital.
A advogada Jenni Raiskio espera que o Estado possa intervir, mas diz que pode levar muitos meses, ou até mesmo anos, para analisar cada caso individualmente e avaliar quanto dano foi causado.
Há, inclusive, pedidos para mudar a lei para ajudar a lidar com futuros casos de ataques hackers em massa como este.
"Isso é realmente histórico na Finlândia, porque o nosso sistema não está preparado para esta quantidade de vítimas. A invasão da Vastaamo nos mostrou que precisamos estar preparados para esses casos grandes, então espero que haja uma mudança. Isso não vai acabar aqui", diz ela.