Operadoras dificultam acesso à caixa postal depois de brecha de invasão
IMAGEaHR0cHM6Ly9zdGF0aWMuZ2FtZXZpY2lvLmNvbS9pbWFnZW5zL3VwbG9hZC9iaWcvMS8wMDA4NTYuanBn
Supostos hackers se aproveitaram de fragilidade no serviço, de acordo com investigações da PF. Empresas não se manifestaram sobre mudanças; disseram aguardam o andamento das investigações.
Algumas operadoras passaram a colocar mais barreiras ao acesso à caixa postal do celular depois que, na última quarta-feira (22), a Polícia Federal divulgou que supostos hackers teriam explorado uma vulnerabilidade nesse tipo de serviço.
Por meio dessa brecha, eles teriam obtido o código que permitiu invadir o aplicativo de mensagens Telegram de autoridades, incluindo o ministro da Justiça, Sérgio Moro, ainda de acordo com as investigações da Operação Spoofing. Quatro pessoas foram presas.
Segundo a polícia, os suspeitos pediram que o Telegram enviasse, via ligação telefônica, o código de autenticação para uso do aplicativo na versão para a web. Eles, então, mantinham a linha da vítima ocupada, para que a chamada caísse na caixa postal, onde o Telegram deixou um recado de voz, informando o código.
Ainda de acordo com a decisão da Justiça, os suspeitos usaram um um serviço Voip (Voice over IP, na sigla em inglês) que permite fazer uma ligação a partir da internet e cria um "disfarce" para o número que está ligando. Por isso, pode parecer que a pessoa está recebendo uma ligação dela mesma, o que, segundo o Ministério da Justiça, aconteceu com Moro.
A brecha
As operadoras davam acesso direto à secretária eletrônica quando a pessoa ligava para ela mesma: bastava colocar a senha do serviço. Mas muita gente não costuma trocar a senha-padrão, o que aumentava a fragilidade do sistema.
Na última quarta, logo após os detalhes da ação dos hackers serem divulgados, foi testado o acesso à caixa postal nas principais operadoras, seguindo o passo a passo informado nos sites dessas empresas.
Em todas, o serviço estava ativo, tanto via ligação do celular do usuário para seu próprio número quanto pelo serviço reservado a pessoas que estão fora do país.
Dois dias depois, já não era possível acessar diretamente as caixas de Claro e Vivo a partir de uma chamada de um número de celular para ele mesmo - somente ligando para números específicos informados pelas empresas. O mesmo aconteceu com a Tim nesta segunda (29).
A Claro, inclusive, retirou as informações em uma página de seu site sobre como realizar o acesso remoto para clientes em viagem. Na noite da última sexta (26), o link dava erro e redirecionava para a página de perguntas e respostas da empresa, que não incluía dúvidas sobre caixa postal ou recados entre os tópicos.
O que dizem as operadoras
Questionadas na última quinta (25) se fariam alguma mudança nesse serviço, ambas disseram que se manifestariam por meio do Sindicato Nacional das Empresas de Telefonia e de Serviços Móvel Celular e Pessoal (Sinditelebrasil), que representa o setor. O mesmo aconteceu com a Tim.
O sindicato informou, por meio de nota, que "as empresas vão aguardar o andamento das investigações da PF e se colocam à disposição das autoridades".
Também procurada, a Agência Nacional de Telecomunicações (Anatel) afirmou que vai colaborar com a Polícia Federal, empregando todos os instrumentos e equipes técnicas disponíveis. "Para garantir o sigilo necessário à operação, não serão divulgadas mais informações no presente momento", respondeu a agência.
O Telegram também foi questionado sobre se pretende mudar o modelo de autenticação de login no aplicativo - que utiliza mensagem dentro do aplicativo, SMS e ligação telefônica - mas não respondeu aos pedidos de comentário até o fechamento desta reportagem.
Em uma rede social, na última sexta-feira (26), o aplicativo respondeu um usuário afirmando que desabilitou a autenticação de login via chamada telefônica para quem usuários que não têm verificação em duas etapas ativa (veja abaixo).
Como se prevenir
O próprio usuário pode cancelar o serviço de caixa postal do celular: veja como.
O ataque ao Telegram também não poderia ser concluído se a conta estivesse protegida com a autenticação em duas etapas. Nessa configuração, além do código recebido por SMS ou chamada, é preciso fornecer uma senha configurada pelo usuário. O intruso, então, é obrigado a adivinhar ou obter essa senha para prosseguir com a invasão.
Essa medida de segurança, que requer uma checagem dupla antes de garantir acesso à conta, pode ser feita em diversos serviços como WhatsApp, Telegram, Conta Google, Apple ID e Facebook.