Caso Telegram

Autenticação dupla com uso de torpedo interativo de voz poderia ter evitado invasão. Recurso envolve o envio de mensagem de voz exigindo uma informação do proprietário da conta. Método pode ser aplicado em quaisquer serviços, plataformas e aplicativos mobile e web.

As notícias sobre a invasão de contas do Telegram dos líderes da Operação Lava a Jato e, mais recentemente de autoridades do governo e do parlamento brasileiro nas últimas semanas, movimentaram a sociedade e colocaram em xeque os mecanismos de recuperação e autenticação de códigos de acesso a serviços online, não apenas do Telegram, mas de todos os outros serviços e aplicativos existentes.

O caso ganhou novo fôlego com o anúncio da prisão de supostos “hackers” pela Polícia Federal na última semana e divulgação do método utilizado para obter o acesso a estas contas a partir de três vulnerabilidades independentes conhecidas: a simulação do número de telefone do dono do aparelho, o acesso simples a caixa postal do celular e a metodologia do Telegram para envio do código de acesso solicitado.

Neste caso dos líderes da Operação Lava a Jato, sabe-se que os invasores fizeram ao Telegram a solicitação do código de acesso optando pelo envio do código por telefone. Mantiveram as linhas móveis ocupadas” com uma sobrecarga de chamadas para que a resposta com o código de acesso caísse diretamente na caixa postal. Depois, acessaram as caixas postais por meio de ligações Voip com número simulado das linhas e obtiveram os códigos.

Para José Roberto Aragão, diretor de Tecnologia da Velip, desenvolvedora de aplicações de atendimento e comunicação com Inteligência Artificial cognitiva, comenta que a companhia que administra o Telegram – assim como qualquer outro aplicativo ou serviço online ou de operadora de telefonia — deveria usar o recurso de torpedo de voz interativo para solicitar uma informação -—por meio de uma pergunta — para depois liberar o código, antes de enviar o código de acesso. “A pergunta pode ser sobre uma informação aleatória ou exclusiva, de conhecimento apenas do dono da conta. Com isso, seria possível impedir que alguém estranho ao serviço—– ou um robô criado para realizar a invasão — pudesse ter acesso ao código, pois o mesmo não seria deixado na caixa postal caso esta modalidade de proteção fosse utilizada”, afirma ele.

O recurso, segundo Aragão, pode ser aplicado em quaisquer outros serviços, plataformas e aplicativos mobile e web: WhatApp, Facebook, Twitter, além de internet banking, plataformas de atendimento ao cliente entre outras. “Trata-se de autenticação dupla – ou de dois fatores – muito usada por vários serviços no mundo todo, mas que, infelizmente é negligenciado por muitas organizações públicas ou privadas. Plataformas avançadas de comunicação empresarial com o usuário oferecem esta funcionalidade e não custa muito mais caro do que a empresa já usa para se comunicar com o cliente ou para informar o código de acesso quando solicitado, como aconteceu no caso do Telegram. Todos os serviços online devem priorizar o fortalecimento dos mecanismos de segurança para evitar acessos não autorizados. “A combinação entre vários fatores restringe a possibilidade de invasão, seja por pessoas ou máquinas criadas para esta finalidade”, assegura o executivo. | www.velip.com.br