---
title: "O Hacker, a IA e o Cartão de Crédito: Como um Estudante Brasileiro Descobriu uma Brecha no Sistema de Pagamentos do X"
author: "Luan Andrade"
published: 2026-05-20T18:24:10.902+00:00
updated: 2026-06-21T02:23:16.483967+00:00
section: "Entrevistas Exclusivas"
canonical: https://bitflowtech.com.br/artigo/hacker-brasileiro-ia-falha-pagamentos-x-nicolas-marchetti
source: BitFlow Tech
license: "Citação permitida com atribuição e link para a URL canônica."
---

# O Hacker, a IA e o Cartão de Crédito: Como um Estudante Brasileiro Descobriu uma Brecha no Sistema de Pagamentos do X

> Nícolas Marchetti, estudante brasileiro e pesquisador de segurança, descobriu uma falha crítica no sistema de pagamentos do X usando uma combinação de investigação manual, inteligência artificial e a metodologia human-in-the-loop. Em entrevista ao BitFlow Tech, ele conta como encontrou o bypass, como a vulnerabilidade foi corrigida em apenas 48 horas e por que o uso irresponsável de IA está criando uma nova crise nos programas de Bug Bounty.

**Autor:** Luan Andrade  
**Publicado:** 2026-05-20  
**Seção:** Entrevistas Exclusivas  
**Original:** https://bitflowtech.com.br/artigo/hacker-brasileiro-ia-falha-pagamentos-x-nicolas-marchetti

![O Hacker, a IA e o Cartão de Crédito: Como um Estudante Brasileiro Descobriu uma Brecha no Sistema de Pagamentos do X](https://qbgwyoweznyfgawghggl.supabase.co/storage/v1/object/public/media/cover-1779300989360.webp)

---

Entrevista Exclusiva
        

# O Hacker, a IA e o Cartão de Crédito: Como um Estudante Brasileiro Burlou o Sistema de Pagamentos do X

        

## Nícolas Marchetti usou o conceito de 'human-in-the-loop' com IA para descobrir uma falha crítica na plataforma de Elon Musk. Em entrevista exclusiva, ele detalha o bypass, o susto com o próprio dinheiro e a crise do 'AI Spam' no Bug Bounty.

    

    
        POR LUAN ANDRADE
        **BITFLOW TECH**
    

    

        ![](https://qbgwyoweznyfgawghggl.supabase.co/storage/v1/object/public/media/1779299837178-ysj5pt1ory.webp)
        Nícolas Marchetti: "Às vezes não é sobre ter o código mais ofuscado, mas sim pensar fora da caixa." (Foto: Arquivo Pessoal)
    

    
        Quando o relatório de vulnerabilidade chega à mesa de triagem de uma Big Tech, o relógio começa a correr contra prejuízos milionários. Para o X (antigo Twitter), corrigir uma falha na sua rota de pagamentos internos levou apenas 48 horas. Sete dias depois, a recompensa de R$ 25 mil estava na conta de um estudante universitário brasileiro. [Acesse aqui o estudo detalhado sobre a falha](/artigo/estudante-brasileiro-falha-x-bug-bounty).

        
        Nícolas Marchetti não descobriu essa falha por força bruta acidental, nem gastando meses analisando a página principal da rede. A invasão ética foi orquestrada através de uma mistura de intuição, mapeamento de subdomínios esquecidos e, crucialmente, Inteligência Artificial atuando como co-piloto tático.

        
        Em uma conversa exclusiva com o **BitFlow Tech**, Nícolas dissecou os bastidores dessa caçada. O que emergiu não foi apenas um tutorial de segurança ofensiva, mas um alerta sobre como a própria IA está congestionando os sistemas globais de Bug Bounty — e como os hackers humanos ainda detêm a chave da criatividade. A pesquisa do estudante ressoa com casos como na exploração de [deepfakes](/artigo/deepfakes-como-identificar-manipulacoes-quando-as-ferramentas-falham-mnwgg3zv), que são ferramentas geradas por IA cada vez mais complexas.

        

### A Estratégia do Ponto Cego

        O domínio principal de uma plataforma com o escopo do X é um campo de batalha saturado. Diariamente, milhares de pesquisadores e scripts automatizados martelam os mesmos endpoints em busca de falhas. Entrar nesse jogo seria competir por migalhas.

        Orientado por um conselho inicial da própria comunidade (do pesquisador Lucas, conhecido como @1Iucas), Nícolas optou por alvejar o que já conhecia como usuário, mas desviando o olhar para as sombras da arquitetura da plataforma.

        
> Eu pensei que se seguisse no escopo principal, o X.com, seria mais difícil. Então, fiz um mapeamento de rotas e funcionalidades e descobri um subdomínio que parecia mais 'escondido' e menos explorado. Por envolver recursos financeiros, decidi ficar por lá.

        Essa decisão reflete um princípio elementar da arquitetura de sistemas: a periferia de uma rede (subdomínios legados ou integrações financeiras terceirizadas) frequentemente recebe menos escrutínio de segurança do que o core do produto.

        

### Human-In-The-Loop e o Susto Financeiro

        A parte mais fascinante do ataque não foi a complexidade do código, mas o arsenal utilizado. A exploração da vulnerabilidade foi feita integrando o Burp Suite — o padrão ouro da indústria para interceptação de tráfego web — com o Claude Code, a IA da Anthropic voltada para engenharia de software.

        Para Nícolas, a eficácia reside no conceito de *human-in-the-loop* (o humano no controle do ciclo). A IA não varre o sistema sozinha de forma autônoma; o pesquisador fornece o contexto lógico e a máquina escala os testes. "Explorar a falha foi bem simples. Acredito que foi legal para entender que às vezes não é sobre ter a vulnerabilidade mais tecnicamente interessante, mas sim que basta fazer o que ninguém ainda tentou", pontua.

        Contudo, a automação gerou um efeito colateral imediato e cômico durante a prova de conceito (Proof of Concept).

        
> Foi um susto! Tive uma tese inicial e coloquei a minha ferramenta de IA para testar, mas esqueci que o meu próprio cartão de crédito estava conectado na plataforma. Do nada, começaram a ser realizados vários pagamentos em sequência e o olho arregalou.

        Apesar do choque, o comportamento anômalo da fatura foi a prova irrefutável de que o bypass funcionava. Após interromper a automação, ele repetiu o processo de forma inteiramente manual para confirmar o vetor do ataque e elevar a criticidade da falha antes de submeter o relatório.

        

### A Crise do "AI Spam" no Bug Bounty

        No mundo da cibersegurança, a velocidade com que uma empresa responde a um alerta define a sua maturidade. A equipe de segurança do X agiu com precisão cirúrgica. Em apenas dois dias, o relatório foi lido, triado e a falha recebeu um patch de correção. O pagamento foi liquidado na primeira semana.

        Entretanto, Nícolas levanta uma bandeira vermelha sobre o ecossistema atual de recompensas no HackerOne: a inteligência artificial generativa, que o ajudou a escalar seus testes, está sendo usada de forma irresponsável por iniciantes para inundar as equipes de segurança com "lixo".

        
> Recentemente, há uma demora bem grande no processo de avaliação devido aos inúmeros relatórios enviados por pessoas utilizando IA sem saber de fato o que estão fazendo. Isso gera reportes inválidos e aumenta o tempo de análise das vulnerabilidades verídicas.

        O caso de Nícolas furou a fila de triagem justamente pela gravidade (impacto financeiro direto) e pela clareza da documentação.

        

### O Caminho das Pedras para Novos Hackers

        Para os leitores que veem as cifras e acreditam que hackear empresas do Vale do Silício exige décadas de experiência, a mensagem do estudante é um choque de realidade contra a síndrome do impostor. O mercado está aberto para quem tem a base técnica e a ousadia de procurar onde ninguém está olhando.

        "Na área de segurança ofensiva, é muito comum ter uma grande síndrome do impostor porque há muita coisa para aprender", reflete Nícolas. "Esse pensamento de que 'o mundo inteiro está procurando a mesma falha, não serei eu quem vai encontrar' não é real. Tenho um conhecido que era mecânico, sem conhecimento prévio, e ganhou milhares de dólares explorando falhas lógicas."

        O segredo não é a genialidade inata, mas a persistência metódica. Treinar em ambientes controlados (CTFs - Capture The Flag) e aprender os fundamentos do protocolo HTTP e interceptação de rotas são os primeiros passos inegociáveis. "O que importa é começar e não desistir", conclui.

        
        
            **Siga a trilha:** Para mais insights sobre segurança ofensiva e metodologias de Bug Bounty, acompanhe os estudos de Nícolas Marchetti diretamente no seu perfil.

            [𝕏 Seguir @0xPira no X](https://x.com/0xPira)

---

_© 2026 BitFlow Tech. Conteúdo original — citação permitida com atribuição e link para https://bitflowtech.com.br/artigo/hacker-brasileiro-ia-falha-pagamentos-x-nicolas-marchetti._
