Uma vulnerabilidade da caixa postal das operadoras de celular foi fatal para a República. Por ela, hackers conseguiram acessar o Telegram de 976 alvos, entre autoridades e jornalistas.

O Comentarista preparou um resumo de como se dava o ataque, e de como proceder para se proteger dele.

O Telegram oferece três tipos de aplicativo, sendo um para dispositivos móveis (celulares e tablets), outro para computadores (desktop) e um terceiro acessível por navegador (web). Estes dois últimos podem ter sido explorados pelos hackers que invadiram as contas de 976 autoridades e jornalistas brasileiros. Todavia, só a versão “desktop” permite baixar um backup do conteúdo da conta – como ocorreu com a de Deltan Dallagnol.

Para acesso pelo computador, digita-se o número telefônico do usuário. Uma senha temporária é enviada via SMS ao celular. Dois minutos depois, contudo, é possível solicitar que a mesma senha seja enviada por um telefonema ao aparelho.

O que acontece se o usuário não atender à chamada? A gravação fica registrada no “voicemail”, serviço de “secretária eletrônica” oferecido pelas operadoras de celular. Por isso, a ação costumava se dar em horário impróprio, ou enquanto um segundo aparelho ligava para o alvo.

Para completar o golpe, os invasores precisam acessar a caixa postal. Com o VOIP, eles conseguem enganar o sistema das operadoras, fazendo-se passar pelos celulares invadidos.

Porque “secretária eletrônica” é um serviço pouco utilizado no Brasil, é comum que os usuários não cadastrem senhas, ou não modifiquem a senha padrão, ativada pelas próprias operadoras. Uma breve busca no Google e redes sociais confirma que ao menos três delas trabalham ou trabalhavam com uma senha padrão para o voicemail. Vivo, Claro e Nextel somavam 136 milhões de clientes até 2017.

Quando, em 23 de julho, a Operação Spoofing foi a campo prender os estelionatários que invadiram o celular de Sergio Moro, a Claro, por exemplo, sugeria o uso da senha padrão no próprio site. Dois dias depois, a página com a informação foi apagada.

Conforme explicou Jorge Henrique Cabral a O Antagonista, a vulnerabilidade das operadoras de celular é um problema mundial. E antigo. O caso Snowden, ainda em 2013, mostrou como a brecha era explorada pela NSA. E o protocolo de segurança das operadoras foi criado há meio século, muito antes de a Internet conectar hackers do mundo todo, da Rússia ou de Araraquara.

Para evitar inferno semelhante ao vivido pelos 976 hackeados, basta ativar a autenticação em dois fatores no Telegram. Na última sexta-feira, a empresa informou que, por medida de segurança, passou a liberar o envio da senha por voz somente aos usuários que já fizeram o procedimento.

Correto. E não se preocupe se as operadoras de telefonia demorarem muito para consertar as vulnerabilidades no sistema de caixa postal delas – agora, só permitimos o recebimento de códigos por chamada se você tiver ativado a verificação em duas etapas.

— Telegram Brasil (@telegram_br) July 26, 2019

Alterar a senha de acesso à caixa postal do celular é também uma medida indicada. Se possível, evitando o SMS como alternativa segura – as vulnerabilidades dele já são conhecidas, e há bons aplicativos no mercado que o substituem com eficiência.