4chan pirateado devido a software desatualizado, código fonte divulgado

Bem, finalmente aconteceu.

Depois de quase duas semanas fora do ar, o 4chan confessou: o site foi invadido e foi um desastre. Num post de blog bastante cru, a equipa admitiu que a violação aconteceu porque não se deram ao trabalho de instalar patches de segurança a tempo. Aparentemente, um pirata informático conseguiu aceder a um pacote de software antigo e vulnerável através de um PDF falso e, a partir daí, as coisas evoluíram rapidamente.

"Com este ponto de entrada, conseguiram eventualmente aceder a um dos servidores do 4chan, incluindo acesso à base de dados e ao nosso próprio painel de controlo administrativo".

Uma vez lá dentro, os piratas informáticos tiveram um dia em cheio. Passaram horas a vasculhar a base de dados do 4chan e a copiar grandes partes do código fonte do site. O site enfatizou que nem todos os servidores foram comprometidos, mas o mais importante definitivamente foi. Sinceramente, é brutal a facilidade com que isto poderia ter sido evitado. Bastava atualizar os sistemas operativos e manter a base de código actualizada, mas não, deixaram apodrecer.

O hack aconteceu no dia 14 de abril. A maioria dos utilizadores apenas viu o 4chan a arder em chamas, sem saber que alguém estava lá dentro a destruir o sítio. Para piorar a situação, o hacker começou a divulgar screenshots e códigos online que mostravam que o 4chan ainda estava a correr versões antigas do PHP e do FreeBSD. Não é uma boa imagem para um site que sempre se gabou da sua liberdade caótica - acontece que o caos também se estendeu ao departamento de TI.

"Embora nem todos os nossos servidores tenham sido violados, o mais importante foi, e isso deveu-se simplesmente ao facto de não termos atualizado os sistemas operativos e o código antigos em tempo útil."

O 4chan não disse exatamente quantos utilizadores foram afectados, nem se as palavras-passe e informações pessoais foram roubadas. A falta de detalhes é um pouco preocupante, mas é normal - a transparência nunca foi exatamente a sua marca. Dito isto, grande parte do foco parece estar no facto de o código fonte e algumas ferramentas de administração terem sido retiradas, o que pode causar muito mais dores de cabeça no futuro, se os maus actores começarem a bisbilhotar o funcionamento interno do site.

Se já frequentaste os fóruns de jogos do 4chan, especialmente o/v/, sabes que as discussões sobre hacking, fugas de informação e segurança são praticamente uma conversa diária. Ironicamente, enquanto os utilizadores passaram anos a analisar as falhas de segurança das empresas de jogos, a sua própria base caiu num dos erros mais básicos da cibersegurança. O/v/ já explodiu com memes sobre o assunto, com tópicos intitulados "4chan hackeado por um PDF literal" e "actualizem os vossos servidores, seus palhaços" a atingirem rapidamente os limites.

Imagem: "Este é o último post do 4chan antes de o site ter sido pirateado e todas as bases de dados terem sido apagadas."

Encaixa na cultura. A atração do 4chan sempre foi o facto de se recusar a evoluir, agarrando-se à sensação de faroeste dos anos 2000. Mas essa teimosia acabou por os atingir em cheio. Num mundo onde até os pequenos hackers podem arruinar-nos com um exploit inteligente, ficar preso ao passado não é uma estética - é uma responsabilidade.

Neste momento, o 4chan diz que corrigiu as falhas e está a "rever as práticas de segurança" em toda a linha. Veremos quanto tempo isso vai durar. A maioria dos utilizadores está contente por os fóruns estarem de volta, mesmo que a ameaça de outra violação paire agora sobre o site como uma nuvem de tempestade.

Por agora, se tem uma conta ou se alguma vez carregou algo sensível (o que, vá lá, não deveria ter feito), não é má ideia mudar as suas coisas e assumir o pior. A história mostra que, uma vez que os piratas informáticos provam o sangue, normalmente voltam para repetir.