Operadoras dificultam acesso à caixa postal depois de brecha de invasão

#Notícia Publicado por okardec, em Wed, 31 Jul 2019 06:26:55 -0300 [Full].

IMAGEaHR0cHM6Ly9zdGF0aWMuZ2FtZXZpY2lvLmNvbS9pbWFnZW5zL3VwbG9hZC9iaWcvMS8wMDA4NTYuanBn

Supostos hackers se aproveitaram de fragilidade no serviço, de acordo com investigações da PF. Empresas não se manifestaram sobre mudanças; disseram aguardam o andamento das investigações.

Algumas operadoras passaram a colocar mais barreiras ao acesso à caixa postal do celular depois que, na última quarta-feira (22), a Polícia Federal divulgou que supostos hackers teriam explorado uma vulnerabilidade nesse tipo de serviço.

Por meio dessa brecha, eles teriam obtido o código que permitiu invadir o aplicativo de mensagens Telegram de autoridades, incluindo o ministro da Justiça, Sérgio Moro, ainda de acordo com as investigações da Operação Spoofing. Quatro pessoas foram presas.

Segundo a polícia, os suspeitos pediram que o Telegram enviasse, via ligação telefônica, o código de autenticação para uso do aplicativo na versão para a web. Eles, então, mantinham a linha da vítima ocupada, para que a chamada caísse na caixa postal, onde o Telegram deixou um recado de voz, informando o código.

Ainda de acordo com a decisão da Justiça, os suspeitos usaram um um serviço Voip (Voice over IP, na sigla em inglês) que permite fazer uma ligação a partir da internet e cria um "disfarce" para o número que está ligando. Por isso, pode parecer que a pessoa está recebendo uma ligação dela mesma, o que, segundo o Ministério da Justiça, aconteceu com Moro.

A brecha

As operadoras davam acesso direto à secretária eletrônica quando a pessoa ligava para ela mesma: bastava colocar a senha do serviço. Mas muita gente não costuma trocar a senha-padrão, o que aumentava a fragilidade do sistema.

Na última quarta, logo após os detalhes da ação dos hackers serem divulgados, foi testado o acesso à caixa postal nas principais operadoras, seguindo o passo a passo informado nos sites dessas empresas.

Em todas, o serviço estava ativo, tanto via ligação do celular do usuário para seu próprio número quanto pelo serviço reservado a pessoas que estão fora do país.

Dois dias depois, já não era possível acessar diretamente as caixas de Claro e Vivo a partir de uma chamada de um número de celular para ele mesmo - somente ligando para números específicos informados pelas empresas. O mesmo aconteceu com a Tim nesta segunda (29).

A Claro, inclusive, retirou as informações em uma página de seu site sobre como realizar o acesso remoto para clientes em viagem. Na noite da última sexta (26), o link dava erro e redirecionava para a página de perguntas e respostas da empresa, que não incluía dúvidas sobre caixa postal ou recados entre os tópicos.

O que dizem as operadoras

Questionadas na última quinta (25) se fariam alguma mudança nesse serviço, ambas disseram que se manifestariam por meio do Sindicato Nacional das Empresas de Telefonia e de Serviços Móvel Celular e Pessoal (Sinditelebrasil), que representa o setor. O mesmo aconteceu com a Tim.

O sindicato informou, por meio de nota, que "as empresas vão aguardar o andamento das investigações da PF e se colocam à disposição das autoridades".

Também procurada, a Agência Nacional de Telecomunicações (Anatel) afirmou que vai colaborar com a Polícia Federal, empregando todos os instrumentos e equipes técnicas disponíveis. "Para garantir o sigilo necessário à operação, não serão divulgadas mais informações no presente momento", respondeu a agência.

O Telegram também foi questionado sobre se pretende mudar o modelo de autenticação de login no aplicativo - que utiliza mensagem dentro do aplicativo, SMS e ligação telefônica - mas não respondeu aos pedidos de comentário até o fechamento desta reportagem.

Em uma rede social, na última sexta-feira (26), o aplicativo respondeu um usuário afirmando que desabilitou a autenticação de login via chamada telefônica para quem usuários que não têm verificação em duas etapas ativa (veja abaixo).

"Não se preocupe se as operadoras de telefonia demorarem muito para consertar as vulnerabilidades no sistema de caixa postal delas – agora, só permitimos o recebimento de códigos por chamada se você tiver ativado a verificação em duas etapas", disse o Telegram em conta oficial.

Como se prevenir

O próprio usuário pode cancelar o serviço de caixa postal do celular: veja como.

O ataque ao Telegram também não poderia ser concluído se a conta estivesse protegida com a autenticação em duas etapas. Nessa configuração, além do código recebido por SMS ou chamada, é preciso fornecer uma senha configurada pelo usuário. O intruso, então, é obrigado a adivinhar ou obter essa senha para prosseguir com a invasão.

Essa medida de segurança, que requer uma checagem dupla antes de garantir acesso à conta, pode ser feita em diversos serviços como WhatsApp, Telegram, Conta Google, Apple ID e Facebook.