Um jovem tecnólogo conhecido online como “Big Balls”, que trabalha no chamado Departamento de Eficiência do Governo de Elon Musk (DOGE), tem acesso a sistemas sensíveis do governo dos EUA. Mas seu histórico profissional e online coloca em dúvida se ele passaria na verificação de antecedentes normalmente exigida para obter autorizações de segurança, dizem especialistas em segurança à WIRED.
Edward Coristine, um graduado do ensino médio de 19 anos, estabeleceu pelo menos cinco empresas diferentes nos últimos quatro anos, com entidades registradas em Connecticut, Delaware e no Reino Unido, a maioria das quais não estava listada em seu perfil do LinkedIn agora excluído. Coristine também trabalhou brevemente em 2022 na Path Network, uma empresa de monitoramento de redes conhecida por contratar hackers reformados. Alguém usando um identificador do Telegram vinculado a Coristine também solicitou um serviço de ataque cibernético sob encomenda no final daquele ano.
Coristine não respondeu a várias solicitações de comentários.
Uma das empresas que Coristine fundou, a Tesla.Sexy LLC, foi criada em 2021, quando ele teria cerca de 16 anos. Coristine é listado como o fundador e CEO da empresa, de acordo com os registros comerciais revisados pela WIRED.
A Tesla.Sexy LLC controla dezenas de domínios na web, incluindo pelo menos dois domínios registrados na Rússia. Um desses domínios, que ainda está ativo, oferece um serviço chamado Helfie, que é um bot de IA para servidores Discord voltado para o mercado russo. Embora a operação de um site russo não viole as sanções dos EUA que proíbem americanos de fazer negócios com empresas russas, isso poderia ser um fator potencial em uma revisão de autorização de segurança.
“Conexões estrangeiras, seja por meio de contatos estrangeiros com amigos ou nomes de domínio registrados em países estrangeiros, seriam sinalizadas por qualquer agência durante o processo de investigação de segurança”, diz Joseph Shelzi, um ex-oficial de inteligência do Exército dos EUA que teve autorização de segurança por uma década e gerenciou a autorização de segurança de outras unidades sob seu comando, à WIRED.
Um antigo analista de inteligência dos EUA, que pediu anonimato para falar sobre tópicos sensíveis, concorda. “Há pouca chance de que ele pudesse ter passado por uma verificação de antecedentes para acesso privilegiado a sistemas do governo”, alegam.
Outro domínio sob o controle de Coristine é o faster.pw. O site atualmente está inativo, mas uma versão arquivada de 25 de outubro de 2022 mostra conteúdo em chinês que afirmava que o serviço ajudava a fornecer “várias redes criptografadas transfronteiriças”.
Antes de ingressar no DOGE, Coristine trabalhou por vários meses em 2024 na startup de implantes cerebrais Neuralink de Elon Musk e, como a WIRED relatou anteriormente, agora está listado nos registros do Escritório de Pessoal da Administração como um “especialista” naquela agência, que supervisiona questões de pessoal para o governo federal. Funcionários da Administração de Serviços Gerais afirmam que ele também participou de chamadas onde eram feitas justificativas para seus trabalhos e para revisar o código que escreveram.
Outros elementos do registro pessoal de Coristine revisados pela WIRED, dizem especialistas em segurança do governo, também levantariam questões sobre a obtenção de autorizações de segurança necessárias para acessar dados privilegiados do governo. Esses mesmos especialistas se perguntam ainda sobre o processo de triagem para a equipe do DOGE e, dado o histórico de Coristine, se ele passou por alguma verificação de antecedentes.
A Casa Branca não respondeu imediatamente a perguntas sobre qual nível de autorização, se houver, Coristine possui e, se sim, como foi concedida.
Na Path Network, Coristine trabalhou como engenheiro de sistemas de abril a junho de 2022, de acordo com seu currículo do LinkedIn agora excluído. A Path em algum momento listou como funcionários Eric Taylor, também conhecido como Cosmo the God, um ex-cibercriminoso bem conhecido e membro do grupo de hackers UGNazis, bem como Matthew Flannery, um hacker australiano condenado que a polícia alega ser membro do grupo de hackers LulzSec. Não está claro se Coristine trabalhou na Path simultaneamente com esses hackers, e a WIRED não encontrou evidências de que Coristine ou outros funcionários da Path tenham se envolvido em atividades ilegais enquanto estavam na empresa.
“Se eu estivesse fazendo a investigação de antecedentes sobre ele, provavelmente teria recomendado contra a contratação dele para o trabalho que ele está fazendo”, diz EJ Hilbert, um ex-agente do FBI que também atuou brevemente como CEO da Path Network antes da contratação de Coristine. “Não sou contra a ideia de limpar o governo. Mas estou questionando as pessoas que estão fazendo isso.”
Preocupações potenciais sobre Coristine vão além de seu histórico de trabalho. Mensagens arquivadas do Telegram compartilhadas com a WIRED mostram que, em novembro de 2022, uma pessoa usando o nome “JoeyCrafter” postou em um canal do Telegram focado em ataques cibernéticos de negação de serviço distribuída, ou DDOS, que bombardeiam sites vítimas com tráfego indesejado para derrubá-los. Em suas mensagens, JoeyCrafter—cujos registros do Discord, Telegram e do protocolo de rede BGP indicam que era um identificador usado por Coristine—escreve que está “procurando por um L7 capaz, poderoso e confiável” que aceite pagamentos em Bitcoin. Essa linha, no contexto de um canal do Telegram de contratação de DDOS, sugere que ele estava procurando alguém que pudesse realizar um ataque de camada 7, uma certa forma de DDOS. Um serviço de DDOS sob encomenda com o nome Dstat.cc foi apreendido em uma operação de aplicação da lei multinacional no ano passado.
A conta do Telegram JoeyCrafter havia usado anteriormente o nome “Rivage”, um nome vinculado a Coristine no Discord e na Path, de acordo com comunicações internas da Path compartilhadas com a WIRED. Tanto as contas Rivage no Discord quanto no Telegram em vários momentos promoveram a startup DiamondCDN de Coristine. Não está claro se a mensagem de JoeyCrafter foi seguida por um ataque de DDOS real. (Nas mensagens internas entre a equipe da Path, uma pergunta é feita sobre Rivage, momento em que um indivíduo esclarece que estão falando sobre “Edward”).
“Depende de qual agência governamental está patrocinando seu pedido de autorização de segurança, mas tudo o que você acabou de mencionar levantaria absolutamente bandeiras vermelhas durante o processo de investigação”, diz Shelzi, o ex-oficial de inteligência do Exército dos EUA. Ele acrescenta que uma autorização de segurança secreta pode ser concluída em tão pouco quanto 50 dias, enquanto uma autorização de segurança top secret pode levar de 90 dias a um ano para ser concluída.
A história online de Coristine, incluindo uma conta no LinkedIn onde ele se chama de Big Balls, desapareceu recentemente. Ele também usou anteriormente uma conta no X com o nome de usuário @edwardbigballer. A conta tinha uma biografia que dizia: “Tecnologia. Arsenal. Golden State Warriors. Viagem Espacial.”
Antes de usar o nome de usuário @edwardbigballer, Coristine estava vinculado a uma conta com o nome de usuário “Steven French”, que apresentava uma imagem do que parece ser Humpty Dumpty fumando um charuto. Em várias postagens de 2020 e 2021, a conta pode ser vista respondendo a postagens de Musk. A conta de Coristine no X está atualmente definida como privada.
Davi Ottenheimer, um gerente de operações e conformidade de segurança de longa data, diz que muitos fatores sobre o histórico de emprego de Coristine e sua pegada online poderiam levantar questões sobre sua capacidade de obter autorização de segurança.
“Experiência de trabalho limitada é um risco”, diz Ottenheimer, como exemplo. “Além disso, seu identificador é literalmente Big Balls.”