A prisão de Julius Kivimäki põe fim a uma onda de crimes cibernéticos de 11 anos, que começou quando ele ganhou notoriedade numa rede de gangues anarquistas de hackers adolescentes, quando tinha apenas 13 anos.
Tiina Parikka estava a refrescar-se depois de fazer a sua habitual sauna de sábado à noite, na Finlândia, quando recebeu uma notificação no telefone.
Era um email de um remetente anónimo, que de alguma forma tinha o seu nome, número de seguro social e outros detalhes privados.
“Inicialmente, fiquei impressionada com o quão educado era, como o tom era amistoso”, relembra.
“Prezada Sra. Parikka”, escreveu o remetente, antes de contar que tinha obtido as suas informações privadas numa clínica de psicoterapia da qual ela era paciente.
Quase a desculpar-se, o autor do email explicava que estava a entrar em contato diretamente porque a clínica estava a ignorar o facto de que os dados pessoais tinham sido roubados.
Dois anos de registos minuciosos feitos pelo seu terapeuta durante dezenas de sessões estavam agora nas mãos deste chantagista desconhecido.
Se ela não pagasse o valor solicitado dentro de 24 horas, todas as anotações seriam publicadas online.
“Foi uma sensação sufocante”, diz. “Eu estava sentada lá, de roupão, sentindo como se alguém tivesse invadido o meu mundo privado e estivesse a tentar ganhar dinheiro com os traumas da minha vida.”
Tiina percebeu rapidamente que não estava sozinha.
Um total de 33 mil outros pacientes de terapia também tiveram os seus registos roubados — e milhares foram chantageados, o que resultou no processo criminal com o maior número de vítimas na Finlândia.
O banco de dados roubado dos servidores da Vastaamo, rede finlandesa de clínicas de psicoterapia, continha os segredos mais íntimos de uma grande parte da sociedade, incluindo crianças. Conversas delicadas sobre assuntos que iam desde casos extraconjugais até confissões de crimes estavam a ser usadas como moeda de troca.
Mikko Hyppönen, da empresa finlandesa de segurança cibernética WithSecure, que pesquisou o ataque, conta que o caso teve repercussão e alimentou o noticiário durante dias no país.
“Um ataque hacker com esta dimensão é um desastre para a Finlândia — todas as pessoas conheciam alguém afetado”, diz.
O chantagista, identificado apenas como “ransom_man” pela sua assinatura online, exigia que as vítimas pagassem 200 euros no prazo de 24 horas, — caso contrário, ele publicaria as suas informações. Se não cumprissem este prazo, ele aumentaria o valor para 500 euros.
Cerca de 20 pessoas pagaram antes de perceber que já era tarde demais. As suas informações tinham sido publicadas no dia anterior, quando “ransom_man” vazou acidentalmente todo o banco de dados para um fórum na dark web.
Mikko e a sua equipa passaram um tempo a procurar o hacker e a tentar ajudar a polícia. Foi quando começaram a surgir teorias de que o hacker provavelmente seria da Finlândia.
Uma das maiores investigações policiais da história do país chegou a um jovem finlandês que já era conhecido no mundo do crime cibernético.
Onda de crimes de ‘Zeekill’
Kivimäki, que se autodenominava Zeekill quando era um hacker adolescente, não se tornou a figura conhecida que é por ser cuidadoso.
Na adolescência, ele só queria saber de hackear, extorquir e gabar-se o mais alto possível. Ao lado das equipas de hackers Lizard Squad e Hack the Planet, deleitava-se ao causar o caos no período extremamente ativo de hackers adolescentes da década de 2010.
Mas não foi preso. A suspensão condicional da sua pena de dois anos gerou controvérsia, e foi criticada por muitos no mundo da segurança cibernética. Apesar das sentenças notoriamente brandas da Finlândia, o receio era que Kivimäki e os seus cúmplices — na sua maioria, outros adolescentes espalhados pelo mundo de língua inglesa — não fossem dissuadidos.
Assim como muitos dos seus colegas durante este período tumultuado, Kivimäki não pareceu deixar os problemas com a polícia detê-lo. Após sua prisão, e antes de sair a sua sentença, realizou um dos ataques mais audaciosos de qualquer gangue de hackers adolescentes. Ele e Lizard Squad deixaram as duas maiores plataformas de games offline na véspera e no dia de Natal.
A Playstation Network e o Xbox Live foram derrubados depois de os seus serviços serem atingidos por uma técnica pouco sofisticada, mas poderosa, conhecida como ataque distribuído de negação de serviço.
Kivimäki ganhou a atenção da imprensa mundial e até aceitou dar uma entrevista para o canal de televisão Sky News, na qual não demonstrou nenhum remorso pelo ataque. Outro hacker que também era da gangue Lizard Squad disse à BBC que Kivimaki era um adolescente vingativo que adorava se vingar de rivais e mostrar as suas habilidades online.
Alerta vermelho emitido
A polícia finlandesa demorou quase dois anos para reunir provas no intuito de emitir um alerta vermelho de busca na Interpol (polícia internacional) para Kivimäki — e ele tornou-se um dos criminosos mais procurados da Europa. Mas ninguém sabia onde estava o jovem de 25 anos.
Foi localizado por acaso em fevereiro passado, quando a polícia de Paris foi ao seu apartamento após receber uma chamada falsa sobre uma querela doméstica. Eles descobriram que Kivimäki vivia com documentos de identidade falsos.
O jovem foi extraditado rapidamente para a Finlândia, onde a polícia começou a preparar-se para um dos julgamentos mais importantes da história do país. O detetive Marko Leponen liderou a investigação de três anos — e, segundo ele, foi o maior caso de sua carreira.
“Tivemos mais de 200 polícias no caso em determinado momento, e foi uma investigação intensa com muitos depoimentos e histórias de vítimas para analisar.”
O julgamento de Kivimäki foi uma notícia importante para o país, acompanhado de perto por jornalistas locais — e, inclusive, pela imprensa internacional, que compareceu para ouvir o seu depoimento.
Leponen diz que vincular a conta bancária de Kivimäki ao servidor usado para obter os dados roubados foi crucial. Os seus agentes também usaram novas técnicas forenses para extrair a impressão digital de Kivimäki de uma foto anónima que ele publicou sob um pseudónimo online.
“Conseguimos provar que essa pessoa anónima que publicou no fórum era Kivimäki. Foi inacreditável, mas mostra que é preciso usar todas as medidas que conhecemos, e tentar aquelas que não conhecemos”, explica Leponen.
No final, os juízes deram o veredito, declarando-o culpado de todas as acusações.
O tribunal considerou Kivimäki culpado de mais de 30 mil crimes — um para cada vítima. Foi acusado de violação de dados qualificada, tentativa de chantagem qualificada, 9231 disseminações qualificadas de informações que violam a vida privada, 20 745 tentativas de chantagem qualificadas e 20 chantagens qualificadas.
Foi condenado a seis anos e três meses de prisão (a pena máxima era de sete anos), mas é provável que cumpra apenas metade, devido ao tempo já cumprido e ao sistema de justiça finlandês.
Kivimäki concordou, em princípio, em chegar a um acordo extrajudicial com um grupo de vítimas, mas outras estão a planear entrar com processos civis contra ele ou contra a própria Vastaamo.
A clínica de psicoterapia está extinta agora, e o seu fundador foi condenado por não proteger os dados dos pacientes, com suspensão condicional da execução da pena. Kivimäki não contou à polícia quanto dinheiro tem em bitcoins, e afirma ter esquecido os detalhes da sua carteira digital.
A advogada Jenni Raiskio espera que o Estado possa intervir, mas diz que pode levar muitos meses, ou até mesmo anos, para analisar cada caso individualmente e avaliar quanto dano foi causado.
“Isto é realmente histórico na Finlândia, porque o nosso sistema não está preparado para esta quantidade de vítimas. A invasão da Vastaamo nos mostrou que precisamos estar preparados para estes casos grandes, então espero que haja uma mudança. Isto não vai acabar aqui“, diz.
ZAP // BBC