Elena TosavainenAssim que Marie-Tully Auer viu o assunto em sua pasta de lixo eletrônico, ela soube que não se tratava de um e-mail de spam comum. Ele contém seu nome completo e seu número de seguro social – o código exclusivo que os finlandeses usam para acessar serviços governamentais e bancários.
O e-mail estava cheio de detalhes sobre Auer que ninguém mais deveria saber.
A remetente sabia que ela estava fazendo psicoterapia por meio de uma empresa chamada Vastamo. Eles disseram que hackearam o banco de dados de pacientes de Vastaamo e queriam que Auer pagasse 200 euros (175 libras) em bitcoin em 24 horas, ou o preço subiria para 500 euros em 48 horas.
Se ele não pagar, escreveram eles, “suas informações serão tornadas públicas, incluindo registros detalhados do paciente, incluindo seu nome, endereço, número de telefone, número de seguro social e transcrições de suas conversas com os terapeutas Vastamore”.
Hora Mary-Tully“É aí que o medo começa”, me diz Auer, 30 anos. “Tirei licença médica do trabalho, me tranquei em casa. Não queria ir. Não queria que as pessoas me vissem.”
Ele foi um dos 33.000 pacientes do Vastamo detidos para resgate por hackers anônimos e sem rosto em outubro de 2020.
Eles compartilharam seus pensamentos mais íntimos com seus terapeutas, incluindo detalhes sobre tentativas de suicídio, casos amorosos e abuso sexual infantil.
Na Finlândia, um país de 5,6 milhões de habitantes, todos pareciam conhecer alguém cujos registos de terapia tinham sido roubados. Tornou-se um escândalo nacional, o pior de sempre da Finlândia, e a então Primeira-Ministra Sanna Marin convocou uma reunião de emergência de ministros para discutir a resposta.
Mas já é tarde demais para deter o hacker.
Antes de Vastaamo enviar o e-mail aos pacientes, o hacker publicou todo o banco de dados de registros roubados da empresa na dark web, e um número desconhecido de pessoas leu ou baixou uma cópia. Desde então, essas notas têm circulado.
Auer contou ao terapeuta coisas que ela não queria que nem mesmo os familiares mais próximos soubessem – sobre seu duplo alcoolismo e sobre um relacionamento secreto que ela estava tendo com um homem muito mais velho.
Agora, seus piores medos se tornaram realidade.
Mas, em vez de destruí-lo, o hack o fez perceber que era muito mais resistente do que poderia imaginar.
Hora Mary-TullyO apartamento de Auer, nos arredores de Helsinque, parece encantador. As recordações da Barbie enchem suas prateleiras e há um poste de pole dance no centro de sua sala de estar. Mas não se deixe enganar pela aparência das coisas na superfície, diz Auer. Ele lutou contra a depressão e a ansiedade durante a maior parte de sua vida.
“Sou extrovertido e muito confiante e adoro estar perto das pessoas”, diz Auer, “mas tenho a impressão de que todos me acham estúpido e feio e que minha vida é uma série de erros”.
Auer procurou ajuda pela primeira vez em 2015. Ele contou ao seu terapeuta Vastamo sobre seus problemas de saúde mental, seu alcoolismo e um caso que manteve em segredo de sua família com um homem de 18 anos. Ela diz que confiava totalmente no terapeuta e que fez um progresso real com a ajuda dele. Ele não tinha ideia do que havia escrito nas anotações da conversa.
No momento em que recebeu o e-mail de resgate, as notícias sobre o hack do Vastamo já haviam se espalhado. Três dias atrás, o extorsionário começou a enviar notas de terapia na dark web em lotes de 100 por dia, pagando à empresa um resgate muito maior – o equivalente a cerca de £ 400.000 em bitcoins – que ele vinha exigindo deles há semanas.
Aur diz que é obrigado a vê-los.
“Nunca usei a dark web antes. Mas pensei comigo mesmo: deveria ver se tenho um registro.”
Quando descobriu que não, fechou o arquivo e nunca leu os registros de mais ninguém, disse ele. Mas ele viu como outras pessoas na dark web zombavam da situação dos pacientes. “Uma criança de 10 anos fez terapia e as pessoas acharam engraçado.”
E alguns dias depois, quando ficou claro que os registros de todos os pacientes do Vastamo haviam sido divulgados, a saúde mental de Au começou a deteriorar-se.
Sem saber quem foi o responsável ou quem leu seus pensamentos mais íntimos, ele tinha medo de pegar o transporte público, sair de casa ou até mesmo abrir a porta para o carteiro. Ele duvidava que o hacker fosse encontrado.
Hora Mary-TullyOs detetives finlandeses também temiam não encontrar o suspeito, dada a quantidade de informações que tinham de pesquisar.
“Eu não conseguia nem imaginar a magnitude disso. Esta não é uma ocorrência normal”, disse o detetive Marko Lepponen, que liderou a investigação policial finlandesa.
Mas depois de dois anos de investigação, em outubro de 2022, eles nomearam o suspeito: Julius Kivimaki, um conhecido criminoso cibernético.
Kivimäki foi preso em França em fevereiro de 2023 e extraditado para a Finlândia para enfrentar acusações.
Nenhuma sala de tribunal era suficientemente grande para acomodar os 21 mil ex-pacientes do Vastamo que se registaram como demandantes no processo criminal, pelo que as exibições foram realizadas em espaços públicos, incluindo cinemas, para lhes dar a oportunidade de assistir ao julgamento.
Determinado a ver Kivimaki enfrentar a justiça, Auer assiste a uma exibição e fica chocado com sua aparência extraordinária.
“Ele parece um jovem finlandês normal”, ele me diz. “Isso me fez sentir que poderia ser qualquer um.”
Quando ele foi condenado e Pena de prisão de seis anos e sete meses, Ele disse que parecia uma validação.
“Qualquer que seja a sentença que ele receba, nunca compensará tudo. O tribunal viu o sofrimento das vítimas – por isso estou grato.”
Kiwimaki continua a negar responsabilidade pelo hack.
EuropolPoucos meses depois de saber do hack, Aur solicitou uma cópia impressa de seus registros ao Vastamo.
Suas anotações ficam em uma pilha grossa na mesa entre nós enquanto ela me conta o que aconteceu.
Embora seus registros tenham sido divulgados há mais de cinco anos, os pacientes do Vastamo continuam sofrendo. Alguém criou um mecanismo de busca que permite aos usuários encontrar registros na dark web apenas digitando o nome de uma pessoa.
Auer concordou em compartilhar comigo alguns de seus registros de terapia vazados.
“O paciente está principalmente irritado, emocionado e amargo”, diz ela, lendo algumas das primeiras notas que seu terapeuta escreveu sobre as sessões. “O paciente descreve seu passado de maneira confusa. A natureza temperamental do paciente apresenta algumas dificuldades interpessoais, típicas de sua idade.”
Ele ficou com o coração partido quando os leu pela primeira vez, disse Auer. “Fiquei magoado com a maneira como ele me descreveu. Isso me fez sentir pena da pessoa que eu era.”
Ele diz que a violação de dados destruiu a confiança do paciente. “Há muitas pessoas que foram clientes do Vastamo e fizeram terapia durante anos, mas agora nunca mais marcarão uma sessão de terapia.”
O advogado que representa as vítimas de Vastamo em um processo civil contra o hacker me disse que conhece pelo menos dois casos em que pessoas tiraram a própria vida sabendo que suas anotações de terapia foram roubadas.
Aur decidiu enfrentar seu medo. Ele postou nas redes sociais sobre o hack, informando a todos que ele havia sido uma vítima.
“Foi muito mais fácil para mim conhecer pessoas que já me conheciam”, diz ela. Ela conversou com sua família sobre o que havia em seus registros vazados, incluindo um relacionamento secreto que ela nunca havia revelado antes. “As pessoas apoiaram muito.”
Eventualmente, ela optou por retomar o controle de sua história publicando um livro sobre suas experiências. Traduzido livremente, o título é Todo mundo fica sabendo.
“Eu transformei isso em uma narrativa. Pelo menos posso contar o meu lado da história – um que não é visível no prontuário do paciente.”
Aur admite que seu segredo sempre estará lá.
“Para o meu próprio bem-estar, é melhor não pensar nisso.”
