Topo

Aos 20 anos, caçador de falhas de segurança transformou hobby em profissão

Mateus Gomes, 20, conseguiu emprego após "caçar" falhas de segurança em sistemas  - Arquivo pessoal
Mateus Gomes, 20, conseguiu emprego após "caçar" falhas de segurança em sistemas Imagem: Arquivo pessoal

Ruam Oliveira

Colaboração para Tilt

11/02/2021 04h00

O que antes era um hobby abriu caminhos profissionais para o técnico em redes Mateus Gomes. Com apenas 20 anos, ele já ajudou a identificar algumas vulnerabilidades em sites de grandes empresas como Caixa Econômica Federal e Banco Bradesco, ambas experiências que viraram notícia em Tilt.

Nessa última, Gomes descobriu que o site do Bradesco permitia que hackers criassem sites falsos usando o domínio oficial da empresa, possibilitando que dados dos clientes fossem consultados sem que eles tivessem conhecimento disso.

A descoberta chamou a atenção de um diretor de uma das maiores empresas de cibersegurança, a PSafe, a mesma que descobriu o recente megavazamento de dados de mais de 220 milhões de brasileiros. Ela convidou Gomes para ser contratado como analista de segurança. Procurada pela reportagem, a empresa afirma que não comenta contratações.

Em busca da primeira falha

Até ganhar um emprego novo, encontrar vulnerabilidades em sites era apenas uma espécie de diversão ou curiosidade para Gomes. Quase saindo do ensino médio, aos 16 anos, Mateus Gomes encontrou uma falha no BNE (Banco Nacional de Empregos). Quando alguém buscava vagas na plataforma, disparava um alerta XSS (Cross-site Scripting), um tipo de ataque em aplicações web que permite que hackers acessem dados pessoais, senhas e também disseminem malwares (programas nocivos).

"Como na época eu não tinha contato com as empresas, normalmente essas descobertas eu colocava no Open Bug Bounty", conta. Este site é um espaço de validação de alertas de vulnerabilidade e reúne relatórios de diversos pesquisadores de segurança de rede.

Na plataforma ele já conseguiu reportar 116 vulnerabilidades em diferentes páginas. Vinte delas já foram corrigidas, e quatro desses sites tinham mais de 50 mil acessos, de acordo com o ranking Alexa, da Amazon.

Ele já ganhou uma recompensa em dinheiro por descobrir uma falha no site da AnubisTrade, uma mineradora de criptomoedas. A falha incentivava clientes a realizar ações inadvertidamente, causando, por exemplo, a redefinição de senhas da conta. Por esse alerta ele ganhou 0.016 bitcoin, equivalentes à época a R$ 670.

O técnico em redes também descobriu uma falha no site do Detran-RS que expunha os dados de CNH e RG de 5,1 milhões de motoristas, também reportados em Tilt na época.

Em seu perfil da plataforma Open Bug Bounty, é possível verificar alertas de vulnerabilidades em sites como o PicPay, Itaú e até no site da faculdade onde estuda, a Fabra (Faculdade Brasileira).

Gomes também descobriu uma falha no site da Caixa Econômica Federal. A página do Fundo de Investimento Estudantil (FIES) tinha uma vulnerabilidade que permitia que cibercriminosos reestruturassem o site para aplicar golpes. A falha foi corrigida após alerta de Gomes e de reportagem publicada em Tilt.

Criança curiosa

"Como funciona essa mágica por trás da tela?", se perguntava Mateus aos nove anos de idade. A solução que seu pai encontrou para poder trabalhar foi deixar o filho brincando no computador —algo que hoje o programador não acha tão prudente.

Sempre curioso, o jovem tinha paixão por tudo que envolvia tecnologia. Aos 14 anos, mesclando os estudos no ensino regular e o curso técnico de redes, fez sua primeira descoberta de uma vulnerabilidade dentro de casa. Observando seu roteador, percebeu que as senhas de acesso à rede coincidiam com o endereço MAC —que é como se fosse um CPF dos equipamentos—, deixando uma brecha a possíveis ataques.

Ele levou essa descoberta para seu professor do curso técnico, que lhe explicou como funcionava esse tipo de vulnerabilidade. "Eu guardei para mim porque não tinha certeza do que estava fazendo", diz o técnico em redes.

Sem entender direito os prós e contras desse tipo de descoberta, Gomes agia muito mais pela diversão. Ele era um dos poucos na turma que já entendiam de VPN (rede privada virtual) e ensinava o acesso a sites bloqueados na escola, como o YouTube, por exemplo. Ele também mostrava como derrubar a conexão dos colegas usando DDOS, um tipo de ataque que sobrecarrega a conexão de aparelhos com excesso de tentativas de acesso.

"Eu achava que era uma brincadeira. Não sabia que sobrecarregava os equipamentos das redes e diminui a vida útil desses aparelhos, por exemplo", relembra. Agora, aos 20 anos, Mateus está muito mais atento às questões de legislação e infrações cometidas na internet.

Aos 17 anos, escreveu seu trabalho de conclusão de curso focado nos desafios de segurança para redes de empresas como corretoras de criptomoedas, fintechs e instituições financeiras. E funcionou como uma dupla função: ao mesmo tempo que indicava as brechas para as empresas, ele também divulgava o próprio trabalho.

Em busca da carreira profissional

Após o curso técnico, Gomes começou a cursar Sistema de Informação, e conseguiu uma bolsa parcial via ProUni (Programa Universidade Para Todos). Hoje está no quarto período da graduação.

Muitas instituições faziam convites para que ele operasse como consultor de segurança. Uma delas, a Findes (Federação das Indústrias do Espírito Santo) lhe abriu a porta, onde ele conseguiu seu primeiro estágio. Ficou só com os fins de semana dedicados para encontrar brechas online por conta própria.

O técnico em redes também foi convidado construir tipos de automação dentro da empresa. Ao todo ele automatizou 16 processos internos, gerando uma economia de R$ 64 mil anuais.

Hoje, Mateus prefere ser sempre chamado de técnico em redes, mesmo que atue como pesquisador de segurança e já tenha uma série de casos de sucesso na área. Ele explica que é uma forma de inspirar os estudantes dos cursos técnicos a seguirem buscando por falhas e formas de consertá-las.

O meu objetivo para o futuro é continuar fazendo o que eu gosto, tirar minhas certificações e trabalhar de maneira ética
Mateus Gomes

Além disso, existe também no seu horizonte a vontade de dar aulas. Acha que os cursos sobre segurança da informação são muito superficiais e ignoram as diferentes técnicas de invasão da atualidade.

"Sempre gostei da área de segurança porque estimulava minha criatividade. Se eu conseguia encontrar uma vulnerabilidade numa fintech, eu procurava em uma instituição financeira. Se eu conseguia nessa instituição, pensava: vamos procurar na Nasa? Eu nunca me limitei."