Entrevista Exclusiva

O Hacker, a IA e o Cartão de Crédito: Como um Estudante Brasileiro Burlou o Sistema de Pagamentos do X

Nícolas Marchetti usou o conceito de 'human-in-the-loop' com IA para descobrir uma falha crítica na plataforma de Elon Musk. Em entrevista exclusiva, ele detalha o bypass, o susto com o próprio dinheiro e a crise do 'AI Spam' no Bug Bounty.

POR LUAN ANDRADE
BITFLOW TECH
Nícolas Marchetti
Nícolas Marchetti: "Às vezes não é sobre ter o código mais ofuscado, mas sim pensar fora da caixa." (Foto: Arquivo Pessoal)

Quando o relatório de vulnerabilidade chega à mesa de triagem de uma Big Tech, o relógio começa a correr contra prejuízos milionários. Para o X (antigo Twitter), corrigir uma falha na sua rota de pagamentos internos levou apenas 48 horas. Sete dias depois, a recompensa de R$ 25 mil estava na conta de um estudante universitário brasileiro. Acesse aqui o estudo detalhado sobre a falha.

Nícolas Marchetti não descobriu essa falha por força bruta acidental, nem gastando meses analisando a página principal da rede. A invasão ética foi orquestrada através de uma mistura de intuição, mapeamento de subdomínios esquecidos e, crucialmente, Inteligência Artificial atuando como co-piloto tático.

Em uma conversa exclusiva com o BitFlow Tech, Nícolas dissecou os bastidores dessa caçada. O que emergiu não foi apenas um tutorial de segurança ofensiva, mas um alerta sobre como a própria IA está congestionando os sistemas globais de Bug Bounty — e como os hackers humanos ainda detêm a chave da criatividade. A pesquisa do estudante ressoa com casos como na exploração de deepfakes, que são ferramentas geradas por IA cada vez mais complexas.

A Estratégia do Ponto Cego

O domínio principal de uma plataforma com o escopo do X é um campo de batalha saturado. Diariamente, milhares de pesquisadores e scripts automatizados martelam os mesmos endpoints em busca de falhas. Entrar nesse jogo seria competir por migalhas.

Orientado por um conselho inicial da própria comunidade (do pesquisador Lucas, conhecido como @1Iucas), Nícolas optou por alvejar o que já conhecia como usuário, mas desviando o olhar para as sombras da arquitetura da plataforma.

Eu pensei que se seguisse no escopo principal, o X.com, seria mais difícil. Então, fiz um mapeamento de rotas e funcionalidades e descobri um subdomínio que parecia mais 'escondido' e menos explorado. Por envolver recursos financeiros, decidi ficar por lá.

Essa decisão reflete um princípio elementar da arquitetura de sistemas: a periferia de uma rede (subdomínios legados ou integrações financeiras terceirizadas) frequentemente recebe menos escrutínio de segurança do que o core do produto.

Human-In-The-Loop e o Susto Financeiro

A parte mais fascinante do ataque não foi a complexidade do código, mas o arsenal utilizado. A exploração da vulnerabilidade foi feita integrando o Burp Suite — o padrão ouro da indústria para interceptação de tráfego web — com o Claude Code, a IA da Anthropic voltada para engenharia de software.

Para Nícolas, a eficácia reside no conceito de human-in-the-loop (o humano no controle do ciclo). A IA não varre o sistema sozinha de forma autônoma; o pesquisador fornece o contexto lógico e a máquina escala os testes. "Explorar a falha foi bem simples. Acredito que foi legal para entender que às vezes não é sobre ter a vulnerabilidade mais tecnicamente interessante, mas sim que basta fazer o que ninguém ainda tentou", pontua.

Contudo, a automação gerou um efeito colateral imediato e cômico durante a prova de conceito (Proof of Concept).

Foi um susto! Tive uma tese inicial e coloquei a minha ferramenta de IA para testar, mas esqueci que o meu próprio cartão de crédito estava conectado na plataforma. Do nada, começaram a ser realizados vários pagamentos em sequência e o olho arregalou.

Apesar do choque, o comportamento anômalo da fatura foi a prova irrefutável de que o bypass funcionava. Após interromper a automação, ele repetiu o processo de forma inteiramente manual para confirmar o vetor do ataque e elevar a criticidade da falha antes de submeter o relatório.

A Crise do "AI Spam" no Bug Bounty

No mundo da cibersegurança, a velocidade com que uma empresa responde a um alerta define a sua maturidade. A equipe de segurança do X agiu com precisão cirúrgica. Em apenas dois dias, o relatório foi lido, triado e a falha recebeu um patch de correção. O pagamento foi liquidado na primeira semana.

Entretanto, Nícolas levanta uma bandeira vermelha sobre o ecossistema atual de recompensas no HackerOne: a inteligência artificial generativa, que o ajudou a escalar seus testes, está sendo usada de forma irresponsável por iniciantes para inundar as equipes de segurança com "lixo".

Recentemente, há uma demora bem grande no processo de avaliação devido aos inúmeros relatórios enviados por pessoas utilizando IA sem saber de fato o que estão fazendo. Isso gera reportes inválidos e aumenta o tempo de análise das vulnerabilidades verídicas.

O caso de Nícolas furou a fila de triagem justamente pela gravidade (impacto financeiro direto) e pela clareza da documentação.

O Caminho das Pedras para Novos Hackers

Para os leitores que veem as cifras e acreditam que hackear empresas do Vale do Silício exige décadas de experiência, a mensagem do estudante é um choque de realidade contra a síndrome do impostor. O mercado está aberto para quem tem a base técnica e a ousadia de procurar onde ninguém está olhando.

"Na área de segurança ofensiva, é muito comum ter uma grande síndrome do impostor porque há muita coisa para aprender", reflete Nícolas. "Esse pensamento de que 'o mundo inteiro está procurando a mesma falha, não serei eu quem vai encontrar' não é real. Tenho um conhecido que era mecânico, sem conhecimento prévio, e ganhou milhares de dólares explorando falhas lógicas."

O segredo não é a genialidade inata, mas a persistência metódica. Treinar em ambientes controlados (CTFs - Capture The Flag) e aprender os fundamentos do protocolo HTTP e interceptação de rotas são os primeiros passos inegociáveis. "O que importa é começar e não desistir", conclui.