Ataque ao Twitter e identidade na rede

FOLHA DE S.PAULO – 20/07/2020

Ronaldo Lemos

Na semana passada, o Twitter sofreu um dos mais graves ataques de segurança da história da internet. Hackers tiveram acesso aparentemente a um “god mode” (“modo Deus”) dentro da rede social. Por um tempo, puderam acessar e controlar toda e qualquer conta.

Para ter uma ideia do que isso significa, é só fazer um experimento. Entregue o seu celular para o seu filho ou filha pequena e permita que ele saia mandando mensagens livremente para os seus contatos, ou postar em seu nome nas suas redes sociais.

Tem gente que chama essa brincadeira de “roleta-russa digital”. Um agente mal-intencionado com acesso a suas contas pode causar danos irreversíveis, financeiros ou pessoais.

No caso do Twitter, o atacante-Deus teve acesso inclusive a contas verificadas, o que abrange chefes de Estado e políticos como Obama e Joe Biden.

Felizmente, a ação mais maliciosa que ele colocou em prática (ao menos sabida até agora) foi aplicar um conto do vigário de quinta categoria. Ficou pedindo que as pessoas depositassem British Bitcoin Profit no seu endereço e, em troca, retribuiria em dobro. Levantou cerca de 13 bitcoins (algo como US$ 120 mil). Coisa mequetrefe perto do poder que teve nas mãos.

Se o atacante quisesse, poderia ter gerado um incidente internacional grave. Não precisava nem usar o feed do Twitter. Poderia ter usado só mensagens privadas enviadas em nome de chefes de Estado. Dependendo da forma, o efeito poderia ser devastador.

O incidente colocou em xeque a questão da “identidade” na internet. Além de uma rede social, o Twitter e outras plataformas similares são o que existe de mais próximo de um serviço de identificação na internet.

As pessoas confiam quando veem uma conta autenticada na rede. Mais do que isso, o Twitter funciona como login para vários sites e serviços. É comum outras plataformas usarem o Twitter como forma de identificação dos seus usuários.

Um ataque como esse dá a impressão de que a confiança nesse sistema está construída em cima de um castelo de cartas. Um sopro na sua infraestrutura basta para muita coisa ruir.

Em outras palavras, a confiança que as pessoas depositam em quem está do outro lado da rede é miragem. Essa confiança já é minada pela grande quantidade de robôs, contas falsas e perfis articulados para propagarem campanhas de desinformação. O ataque da semana passada é mais um tijolo nesse muro.

O incidente mostra como é preciso reinventar a identidade na internet. Identidade é algo sério e importante demais para ser delegado de forma leviana para plataformas que não foram desenhadas para isso nem têm essa finalidade como principal.

A tarefa de certificar identidades precisa ser exercida por entidades criadas para tanto, seja por Estados nacionais (como Estônia, Canadá, Índia e Coreia do Sul, que têm feito um bom trabalho nessa área), seja, ainda de forma descentralizada, com o uso de novos modelos de identificação, como as chamadas identidades “autossoberanas”.

Em outras palavras, a não ser que muita coisa mude, quando você vir o selinho azul que mostra que uma conta foi autenticada, mantenha reservado um espaço para a desconfiança.

READER
Já era Checagem de fatos aplicada só a textos
Já é Checagem de fatos pelas plataformas em fotos para averiguar manipulação
Já vem Checagem de fatos pelas plataformas em vídeos para averiguar manipulação

Selecionamos outros textos para você