Tiina Parikka estava semidespida quando leu o e-mail. Era um sábado no final de outubro de 2020, e Parikka havia passado a manhã organizando planos de ensino à distância após um surto de Covid na escola onde era diretora. Ela havia tomado uma sauna em seu apartamento em Vantaa, nos arredores da capital finlandesa, Helsinque, e quando entrou no quarto para se vestir, checou o telefone distraidamente. Havia uma mensagem que começava com seu nome e seu número de segurança social — o código único usado para identificar os finlandeses para saúde, educação e serviços bancários. "Naquele momento, eu soube que isso não era uma brincadeira", ela diz.
O e-mail estava em finlandês. Era estranhamente educado. "Estamos entrando em contato porque você usou os serviços de terapia e/ou psiquiatria da Vastaamo", dizia. "Infelizmente, temos que pedir que você pague para manter suas informações pessoais seguras." O remetente exigia 200 euros em bitcoin dentro de 24 horas, caso contrário o preço subiria para 500 euros em 48 horas. "Se ainda não recebermos nosso dinheiro depois disso, suas informações serão publicadas para todos verem, incluindo seu nome, endereço, número de telefone, número de segurança social e registros detalhados contendo transcrições de suas conversas com terapeutas ou psiquiatras da Vastaamo."
Parikka engole seco ao reviver essa memória. "Meu coração estava acelerado. Foi muito difícil respirar. Lembro-me de deitar na cama e dizer ao meu cônjuge: 'Acho que vou ter um ataque cardíaco.'"
Alguém havia invadido a Vastaamo, a empresa através da qual Parikka acessava psicoterapia. Eles obtiveram as anotações de terapia contendo seus sentimentos mais privados e íntimos e seus pensamentos mais sombrios — e estavam mantendo-os como resgate. A mente de Parikka acelerou enquanto ela tentava lembrar tudo o que havia confidenciado durante três anos de sessões de terapia semanais. Como sua família reagiria se soubesse o que ela havia dito? O que seus alunos diriam? A sensação de exposição e violação era incomensurável: "Pareceu um estupro público".
A terapia havia sido a tábua de salvação de Parikka. Agora com 62 anos, ela teve três filhos aos 25, incluindo gêmeos que nasceram extremamente prematuros na década de 1980, pesando apenas algumas centenas de gramas cada. Um cresceu com paralisia cerebral; o outro é cego. Parikka passou anos equilibrando emergências médicas, cirurgias e internações hospitalares com um trabalho exigente e um casamento desmoronando. "Durante aqueles anos, ninguém nunca me perguntou, a mãe: 'Como você está?'"
Ela se divorciou em 2014 e conheceu seu parceiro atual um ano depois. Naquela época, seus filhos já eram adultos com vidas independentes. Após décadas colocando as necessidades de todos antes das suas, ela finalmente deveria ter conseguido respirar aliviada. Em vez disso, teve um colapso. "Eu tinha uma ansiedade total percorrendo meu corpo o tempo todo. Não conseguia dormir. Tinha ataques de pânico. Não conseguia comer." Dirigindo em alta velocidade na estrada um dia, pensamentos sombrios surgiram. "Eu pensava: não me importaria se este carro batesse."
Em busca de ajuda urgente, ela recorreu ao Google, que a levou à Vastaamo, a loja digital única da Finlândia para pessoas em busca de psicoterapia. Nenhum encaminhamento médico era necessário. Ela conseguiu marcar uma sessão para o dia seguinte. "Foi tão fácil."
Poder confidenciar-se a um completo estranho foi libertador. Ela contou à sua terapeuta coisas que nunca havia contado a ninguém. "Traumas em relacionamentos. A decepção e a tragédia de ter filhos com deficiência, e a influência que isso teve na minha vida", ela diz. "Coisas bobas, coisas infantis. É muito humano sentir ódio, raiva, fúria."
Depois que Parikka leu o e-mail que a deixou sem ar, ela não sabia a quem recorrer. Ela correu... Ligou para os serviços de emergência, mas a polícia disse para ela desligar; eles precisavam manter a linha livre para emergências reais. De roupão, telefone ainda na mão, ela se sentiu completamente sozinha.
Mas Parikka estava longe de estar sozinha. Por toda a Finlândia, 33.000 pessoas que haviam usado a Vastaamo estavam descobrindo que um hacker havia obtido suas anotações de terapia e as mantinha como resgate. Essas eram pessoas que, por definição, provavelmente eram vulneráveis e precisavam de ajuda. Cada uma estava vivenciando um terror profundamente pessoal. Em um país de apenas 5,6 milhões de pessoas, todos conheciam alguém que havia sido hackeado.
As anotações de algumas vítimas já haviam sido selecionadas e publicadas para o mundo ver. Três dias antes dos e-mails de extorsão serem enviados, alguém usando o apelido "ransom_man" postou na dark web, no r/Suomi (o subreddit em finlandês), e no Ylilauta, equivalente finlandês do 4chan. Desta vez, o post estava em inglês. "Olá, colegas finlandeses", começava. "Nós hackeamos a clínica de psicoterapia vastaamo.fi e obtivemos dezenas de milhares de registros de pacientes, incluindo anotações de sessão extremamente sensíveis e números de segurança social. Solicitamos um pequeno pagamento de 40 bitcoins (nada para uma empresa com receita anual próxima de 20 milhões de euros), mas o CEO parou de responder nossos e-mails. Agora estamos começando a liberar gradualmente os registros de seus pacientes, 100 entradas por dia."
Havia um link para a dark web, onde 100 registros já estavam em exibição. Logo abaixo, ransom_man assinou o post com uma única palavra: "Aproveitem!"
Os 100 registros incluíam os de políticos, policiais e figuras públicas proeminentes. Seus nomes apareciam ao lado de anotações de terapia contendo detalhes de adultério, tentativas de suicídio, pedofilia e violência sexual. Alguns dos registros pertenciam a crianças. E quem quer que estivesse por trás do hack cumpriu a palavra: no dia seguinte, mais 100 registros de pacientes foram carregados.
Algumas vítimas procuraram desesperadamente na dark web para ver se seus registros estavam lá. Algumas pagaram o resgate, correndo para conseguir bitcoin enquanto o tempo passava. Advogados representando as vítimas me disseram que sabem de pelo menos dois casos em que pessoas tiraram a própria vida após descobrir que suas anotações de terapia haviam sido hackeadas.
Mas para todos eles, já era tarde demais. Às 2h da manhã de 23 de outubro de 2020 — um dia antes dos e-mails começarem a chegar em dezenas de milhares de caixas de entrada — ransom_man havia carregado um arquivo muito maior. Ele continha todos os registros de cada paciente no banco de dados da Vastaamo. As anotações de terapia de todos já haviam sido publicadas, gratuitamente, para o mundo inteiro ver.
Quem estava por trás do maior crime que a Finlândia já conheceu? E eles poderiam ter sido motivados por algo além do dinheiro? Passei 18 meses tentando responder a essas perguntas, seguindo pistas pela Europa e pelos EUA. Elas culminaram em uma visita a uma prisão e uma das conversas mais arrepiantes que já tive.
A Finlândia foi classificada como o país mais feliz da Terra pela ONU pelos últimos oito anos consecutivos. Líder mundial em cuidados infantis e educação, a Finlândia também é famosamente high-tech: é o país mais digitalizado da Europa, renomado por seu setor de comunicações (como lar da Nokia) e líder em inovação em cibersegurança e IA. Mas a Finlândia também é um lugar de extremos. Tem mais bandas de heavy metal per capita do que qualquer outra nação. No extremo norte, por alguns dias em torno do solstício de inverno, o sol não nasce.
A Vastaamo há muito era considerada um exemplo de como a Finlândia estava acertando na tecnologia digital. Fundada em 2008 pelo empresário Ville Tapio e sua mãe, Nina, uma psicoterapeuta, o objetivo era tornar a terapia acessível às massas e remover o estigma de pedir ajuda. A plataforma facilitava para as pessoas ver quem estava disponível, onde e em qual abordagem terapêutica eles se especializavam. O logotipo tinha... A paleta de cores de um kit de primeiros socorros, com letras brancas em uma bolha de fala verde. "Vastaamo" significa "um lugar para respostas". Era uma plataforma atraente para terapeutas também: eles não precisavam se preocupar com marketing ou cobrança — a Vastaamo cuidaria de tudo. A empresa até fornecia uma interface digital nos bastidores onde os terapeutas podiam fazer e armazenar suas anotações. Essa fórmula, combinada com a crescente demanda por serviços de terapia, fez a Vastaamo crescer rapidamente. Ela abriu sua própria rede de cerca de 20 clínicas em toda a Finlândia, empregando mais de 220 psicoterapeutas até 2018, levando alguns na Finlândia a se referirem a ela como "o McDonald's da terapia". Nos anos antes de Zoom e Teams fazerem parte de nossas vidas diárias, a terapia remota também oferecida pela Vastaamo foi revolucionária. Em 2019, uma empresa de private equity comprou uma participação majoritária na empresa, rendendo à família Tapio um pagamento de mais de 5 milhões de euros.
Meri-Tuuli Auer, de 30 anos, descreve o uso da Vastaamo como "tipo Uber para terapia — conveniente, acessível, relativamente barato". Ela escolheu seu terapeuta porque ele oferecia psicoterapia cognitiva — e ela gostou da foto dele. "Ele parecia simpático. Parecia acessível."
A casa de Auer, nos arredores de Helsinque, é uma explosão de rosa. Há bonecas Barbie, livros da Barbie e bolsas temáticas da Barbie em suas prateleiras, além de um carro esportivo conversível da Barbie brilhante. Uma barra de pole dance ocupa lugar de destaque no centro de sua sala de estar.
"Sou uma personalidade mista", ela me diz tomando chá em canecas do Mumin. "Adoro estar perto de pessoas, mas tenho aquela intuição, aquela dúvida: talvez todos pensem que sou uma mentirosa, estúpida e feia e não tenho ideia do que estou fazendo." Auer lutou contra a depressão por grande parte de sua vida. Quando tinha 18 anos, ela estava em um relacionamento secreto e difícil com um homem 29 anos mais velho, o que fez sua autoestima despencar ainda mais. Ela estava bebendo muito. "Se eu não tivesse ido à terapia, não sei o que teria sido de mim. Talvez haja outro universo onde eu não cheguei aos 30."
A maior parte do custo do tratamento de Auer foi coberta pelo sistema de saúde finlandês; ela pagava apenas cerca de 25 euros por cada sessão semanal. Ela estava fazendo grandes progressos. "Depois de fazer terapia em 2018 e 2019, eu havia conquistado um senso básico de segurança. Isso se perdeu em 2020."
O CEO da Vastaamo sabia que o registro de pacientes da empresa estava sendo mantido como resgate semanas antes de seus clientes descobrirem. Em 28 de setembro de 2020, Ville Tapio recebeu um e-mail exigindo o equivalente a 450.000 euros em bitcoin para mantê-lo seguro. Registros de pacientes de amostra anexados ao e-mail provaram que o extorsionário não estava blefando. Tapio chamou uma empresa de cibersegurança para investigar.
Informações médicas são um alvo óbvio para possíveis extorsionários, diz Antti Kurittu, o especialista em segurança contratado por Tapio. Mas isso era algo diferente: "O que quer que eu conte a um terapeuta é, por sua própria natureza, muito mais privado do que minha pressão arterial", ele diz, secamente.
Kurittu costumava ser detetive, investigando crimes cibernéticos para a polícia finlandesa; ele diz que insistiu que a polícia fosse informada sobre a tentativa de resgate para que pudessem iniciar uma investigação paralela. Enquanto isso, ele começou a inspecionar o servidor da Vastaamo, procurando pistas sobre quem poderia estar por trás do hack — e uma das primeiras coisas que notou foi quão frouxa era a segurança. "Definitivamente não era adequado para armazenar esse tipo de informação", ele diz. Ele me conta que o banco de dados de registros de pacientes era acessível via internet; não havia firewall e, talvez mais grave, estava protegido com uma senha em branco, então qualquer um poderia apenas pressionar enter e abri-lo. Kurittu determinou que quem quer que tivesse hackeado a Vastaamo provavelmente estava apenas vasculhando a internet em busca de qualquer banco de dados mal protegido... Os hackers estavam procurando bancos de dados valiosos dos quais pudessem lucrar. "Eles testaram vários cofres bancários para ver quais estavam destrancados e acidentalmente encontraram este", explica Kurittu.
Nossos segredos mais privados — coisas que nunca gostaríamos que fossem expostas ao mundo — estão lá online.
Por várias semanas, o hacker e a Vastaamo se comunicaram por e-mail, mas a Vastaamo nunca considerou pagar o resgate. Fazer isso significaria confiar na promessa de um criminoso de deletar os registros. Além disso, Kurittu observa, vai contra o caráter finlandês. "Os finlandeses podem ser um bando teimoso. Não somos conhecidos por pagar resgates silenciosa ou facilmente, o que é um ponto de orgulho nacional para mim."
Depois que o hacker, usando o pseudônimo "ransom_man", começou a vazar registros de pacientes para pressionar a empresa, Kurittu monitorou de perto o servidor usado para publicá-los. Ele suspeitava que a pessoa por trás do ataque era finlandesa ou havia vivido na Finlândia por muito tempo, pois sabia quais nomes notáveis destacar dos arquivos dos pacientes.
Quando Auer soube da violação, ela baixou um navegador para acessar a dark web pela primeira vez. "Pensei comigo mesma, só preciso verificar se meus registros estão lá", ela diz. Ela não encontrou seu nome no primeiro lote postado e fechou o arquivo sem ler os registros de mais ninguém. Mas ela viu outras pessoas discutindo o que haviam visto. "As pessoas já haviam escolhido o que achavam serem as partes mais engraçadas dos registros dos pacientes. Elas estavam rindo da dor dessas pessoas. Uma criança de 10 anos havia ido à terapia, e as pessoas acharam divertido."
Auer começou a entrar em espiral. "Eu me tranquei em casa. Não queria sair; não queria que ninguém me visse", ela relembra. Ela tinha pouca esperança de que o hacker fosse pego. "Não é que eu desconfie da polícia finlandesa — apenas parecia uma tarefa impossível."
No entanto, o arquivo muito maior que ransom_man havia carregado para a dark web — contendo todos os registros de pacientes da Vastaamo — também continha pistas cruciais para sua identidade. Os três primeiros lotes de anotações de terapia foram postados manualmente, mas quando o hacker tentou automatizar o processo, ele acidentalmente carregou não apenas todas as anotações de terapia, mas toda a sua pasta pessoal. O arquivo ficou online apenas brevemente antes de ser removido, acompanhado por um post que dizia "ops :D" — mas ransom_man havia cometido um erro crítico.
"Depois de passar várias noites com o arquivo, tive a sensação de que já tinha visto algo assim antes", diz Kurittu. Os dados no disco rígido pessoal do hacker não estavam organizados sistematicamente em pastas, como se poderia esperar de alguém que administra extorsão como negócio. "Tinha aquele ar caótico e apaixonado de um hobby." Havia também algo estranhamente familiar na maneira infantil como ransom_man havia nomeado alguns arquivos (o que continha todos os dados dos pacientes se chamava "therapissed").
A mente de Kurittu voltou a 2013, quando
