As notícias sobre a invasão de contas do Telegram dos líderes da Operação Lava Jato e, mais recentemente de autoridades do governo e do parlamento brasileiro nas últimas semanas, movimentaram a sociedade e colocaram em xeque os mecanismos de recuperação e autenticação de códigos de acesso a serviços online, não apenas do Telegram, mas de todos os outros serviços e aplicativos existentes.
O caso ganhou novo fôlego com o anúncio da prisão de supostos “hackers” pela Polícia Federal na última semana e divulgação do método utilizado para obter o acesso a estas contas a partir de três vulnerabilidades independentes conhecidas: a simulação do número de telefone do dono do aparelho, o acesso simples a caixa postal do celular e a metodologia do Telegram para envio do código de acesso solicitado.
Neste caso dos líderes da Operação Lava Jato, sabe-se que os invasores fizeram ao Telegram a solicitação do código de acesso optando pelo envio do código por telefone. Mantiveram as linhas móveis ocupadas com uma sobrecarga de chamadas para que a resposta com o código de acesso caísse diretamente na caixa postal. Depois, acessaram as caixas postais por meio de ligações Voip com número simulado das linhas e obtiveram os códigos.
Para José Roberto Aragão, diretor de Tecnologia da Velip, desenvolvedora de aplicações de atendimento e comunicação com Inteligência Artificial cognitiva, a companhia que administra o Telegram – assim como qualquer outro aplicativo ou serviço online ou de operadora de telefonia – deveria usar o recurso de torpedo de voz interativo para solicitar uma informação – por meio de uma pergunta – para depois liberar o código, antes de enviar o código de acesso.
“A pergunta pode ser sobre uma informação aleatória ou exclusiva, de conhecimento apenas do dono da conta. Com isso, seria possível impedir que alguém estranho ao serviço – ou um robô criado para realizar a invasão – pudesse ter acesso ao código, pois o mesmo não seria deixado na caixa postal caso esta modalidade de proteção fosse utilizada”, afirma ele.
O recurso, segundo Aragão, pode ser aplicado em quaisquer outros serviços, plataformas e aplicativos mobile e web: WhatsApp, Facebook, Twitter, além de internet banking, plataformas de atendimento ao cliente entre outras. “Trata-se de autenticação dupla – ou de dois fatores – muito usada por vários serviços no mundo todo, mas que, infelizmente é negligenciado por muitas organizações públicas ou privadas. Plataformas avançadas de comunicação empresarial com o usuário oferecem esta funcionalidade e não custa muito mais caro do que a empresa já usa para se comunicar com o cliente ou para informar o código de acesso quando solicitado, como aconteceu no caso do Telegram. Todos os serviços online devem priorizar o fortalecimento dos mecanismos de segurança para evitar acessos não autorizados. A combinação entre vários fatores restringe a possibilidade de invasão, seja por pessoas ou máquinas criadas para esta finalidade”, assegura o executivo.
