A polícia de Ottawa, no Canadá, conseguiu prender o primeiro cracker a tirar proveito da falha Heartbleed, encontrada na semana passada na biblioteca OpenSSL. O jovem Stephen Arthuro Solis-Reyes, de 19 anos, está sendo acusado de vazar números do seguro social de 900 pessoas ao se aproveitar da brecha de segurança.

As informações vêm do jornal local The Calgary Herald. A publicação afirma que, entre as acusações feitas pelos oficiais, estão “uso não autorizado de um computador” e “mau-comportamento em relação a dados”. Equipamentos de informática foram apreendidos na residência do jovem, segundo a notícia.

O vazamento de dados se deu na última sexta-feira, 11, durante um período de inatividade do site da Canada Revenue Agency (CRA), mas antes de a agência conseguir corrigir a brecha Heartbleed. As investigações da polícia se estenderam por cinco dias, e a própria notícia do vazamento foi dada com atraso pelo órgão a pedido dos oficiais, de forma a não atrapalhar o processo no fim de semana.

Segundo informou a polícia local ao jornal, a vulnerabilidade foi tratada como um caso de alta prioridade, e os “recursos necessários” foram mobilizados para resolver o assunto.

Mas, ao que parece, não foi preciso tanto trabalho para encontrar o cracker. O rastro deixado por Solis-Reyes após a invasão estava bem claro, o que mostra até que faltou experiência ao rapaz – mesmo porque, de acordo com notícias anteriores, a brecha Heartbleed permite que um invasor consiga roubar dados sem ser identificado, o que significa mais de meio caminho andado.

A invasão feita pelo jovem canadense, entretanto, não foi a primeira a ser noticiada, como lembrou o Calgary Herald. A CloudFlare chegou a desafiar hackers a vazarem as chaves de criptografia em um servidor que foi propositadamente deixado vulnerável, e pelo menos dois conseguiram – e provaram que a falha de segurança é realmente grave, ao contrário do que acreditava a empresa.