Tecnologia

Caso Telegram: autenticação dupla com uso de torpedo interativo de voz poderia ter evitado invasão

As notícias sobre a invasão de contas do Telegram dos líderes da Operação Lava Jato e, mais recentemente de autoridades do governo e do parlamento brasileiro nas últimas semanas, movimentaram a sociedade e colocaram em xeque os mecanismos de recuperação e autenticação de códigos de acesso a serviços online, não apenas do Telegram, mas de todos os outros serviços e aplicativos existentes.

O caso ganhou novo fôlego com o anúncio da prisão de supostos “hackers” pela Polícia Federal na última semana e divulgação do método utilizado para obter o acesso a estas contas a partir de três vulnerabilidades independentes conhecidas: a simulação do número de telefone do dono do aparelho, o acesso simples a caixa postal do celular e a metodologia do Telegram para envio do código de acesso solicitado.

Neste caso dos líderes da Operação Lava Jato, sabe-se que os invasores fizeram ao Telegram a solicitação do código de acesso optando pelo envio do código por telefone. Mantiveram as linhas móveis ocupadas com uma sobrecarga de chamadas para que a resposta com o código de acesso caísse diretamente na caixa postal. Depois, acessaram as caixas postais por meio de ligações Voip com número simulado das linhas e obtiveram os códigos.

Para José Roberto Aragão, diretor de Tecnologia da Velip, desenvolvedora de aplicações de atendimento e comunicação com Inteligência Artificial cognitiva, a companhia que administra o Telegram – assim como qualquer outro aplicativo ou serviço online ou de operadora de telefonia – deveria usar o recurso de torpedo de voz interativo para solicitar uma informação – por meio de uma pergunta – para depois liberar o código, antes de enviar o código de acesso.

“A pergunta pode ser sobre uma informação aleatória ou exclusiva, de conhecimento apenas do dono da conta. Com isso, seria possível impedir que alguém estranho ao serviço – ou um robô criado para realizar a invasão – pudesse ter acesso ao código, pois o mesmo não seria deixado na caixa postal caso esta modalidade de proteção fosse utilizada”, afirma ele.

O recurso, segundo Aragão, pode ser aplicado em quaisquer outros serviços, plataformas e aplicativos mobile e web: WhatsApp, Facebook, Twitter, além de internet banking, plataformas de atendimento ao cliente entre outras. “Trata-se de autenticação dupla – ou de dois fatores – muito usada por vários serviços no mundo todo, mas que, infelizmente é negligenciado por muitas organizações públicas ou privadas. Plataformas avançadas de comunicação empresarial com o usuário oferecem esta funcionalidade e não custa muito mais caro do que a empresa já usa para se comunicar com o cliente ou para informar o código de acesso quando solicitado, como aconteceu no caso do Telegram. Todos os serviços online devem priorizar o fortalecimento dos mecanismos de segurança para evitar acessos não autorizados. A combinação entre vários fatores restringe a possibilidade de invasão, seja por pessoas ou máquinas criadas para esta finalidade”, assegura o executivo.

Quer receber as principais notícias do Portal N10 no seu WhatsApp? Clique aqui e entre no nosso canal oficial.

Rafael Nicácio

Co-fundador e redator do Portal N10, sou responsável pela administração e produção de conteúdo do site, consolidando mais de uma década de experiência em comunicação digital. Minha trajetória inclui passagens por assessorias de comunicação do Governo do Estado do Rio Grande do Norte (ASCOM) e da Universidade Federal do Rio Grande do Norte (UFRN), onde atuei como estagiário.Desde 2013, trabalho diretamente com gestão de sites, colaborando na construção de portais de notícias e entretenimento. Atualmente, além de minhas atividades no Portal N10, também gerencio a página Dinastia Nerd, voltada para o público geek e de cultura pop.MTB Jornalista 0002472/RNE-mail para contato: rafael@oportaln10.com.br

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Botão Voltar ao topo
Fechar

Permita anúncios para apoiar nosso site

📢 Desative o bloqueador de anúncios ou permita os anúncios em nosso site para continuar acessando nosso conteúdo gratuitamente. Os anúncios são essenciais para mantermos o jornalismo de qualidade.