Risco Oculto: Links de Autenticação via SMS Ameaçam Privacidade

Risco Oculto: Links de Autenticação via SMS Ameaçam Privacidade

Um novo estudo revelou que o uso de links de autenticação enviados por SMS expõe milhões de pessoas a riscos significativos de segurança. Esses links estão sendo utilizados por uma ampla gama de serviços, desde seguros até listas de empregos, colocando dados sensíveis em risco, como informações pessoais e financeiras.

Por conta da facilidade que esses serviços oferecem, ao solicitar apenas um número de celular durante o cadastro em vez de um nome de usuário e senha, muitos usuários acabam aceitando essa forma de autenticação, que pode favorecer fraudadores. O estudo, recente e alarmante, identificou que mais de 700 serviços estão utilizando esse método vulnerável, expondo dados de usuários ao permitir que atacantes acessem suas contas ao modificar um simples token de segurança.

A pesquisa revelou que muitos links enviados são fáceis de serem enumerados, o que indica uma falha grave na segurança dos serviços. Um sistema seguro deve gerar tokens de segurança que são extremamente difíceis de adivinhar ou manipular; no entanto, o que foi encontrado são muitos casos em que isso não é seguido, permitindo que invasores acessem outras contas ao alterar esses tokens.

Além de ser uma ameaça direta à privacidade, a autenticidade de muitos desses links é questionável, pois as mensagens SMS não são criptografadas. Isso significa que, caso um texto que contenha um link de autenticação seja interceptado, informações pessoais poderão ser acessadas sem esforço. Um exemplo alarmante de tal vulnerabilidade foi encontrado em uma investigação anterior, que expôs milhões de mensagens contendo links de autenticação e dados pessoais, como nomes e endereços.

Nesta nova pesquisa, foram coletados mais de 322 mil URLs únicas de mensagens SMS, evidenciando que a maioria delas expõe informações críticas que podem ser utilizadas por criminosos. A análise revelou que 701 serviços diferentes enviaram mensagens com falhas que comprometem a segurança, permitindo acesso não autorizado a informações sensíveis dos usuários, como números de CPF, datas de nascimento e dados bancários.

Dos 701 serviços estudados, 125 estavam particularmente suscetíveis a ataques, permitindo que invasores adivinhassem os URLs válidos com pouca dificuldade. "As fraquezas estão profundamente enraizadas nas práticas de autenticação que são implementadas por essas plataformas", afirmou Muhammad Danish, autor principal do estudo. "Embora seja fácil orientar usuários a não fornecer dados a fontes não confiáveis, essa abordagem não é suficiente, já que muitos dos serviços afetados são bem conhecidos e de grande relevância no mercado."