Falha em servidor de SMS expõe links de senha e códigos de autenticação

Uma grave brecha de segurança expôs os SMSs enviados por uma empresa americana, colocando em risco a integridade dos usuários ao revelar números de telefone, o conteúdo das mensagens de texto e, no mais grave, links para trocas de senha e códigos de autenticação em dois fatores. A falha atingiu os servidores da Voxox, uma empresa que trabalha com serviços como Badoo, Booking, Amazon, Yahoo e Google nos Estados Unidos.

O banco de dados de mensagens não estava protegido por senha, o que, basicamente, permitia que qualquer um, sabendo o que fazer, observasse o fluxo de mensagens quase em tempo real. As informações poderiam ser localizadas também por motores de busca e estavam hospedadas nos servidores do Amazon Web Services, mas foram retiradas do ar assim que a Voxox foi notificada sobre a brecha.

As informações, entretanto, traziam todo o histórico de mensagens processadas pela empresa, que faz a intermediação entre os serviços online e as companhias de envio de mensagens, transformando as informações vindas do servidor em um formato amigável para ser compartilhado por SMS. Links encurtados, códigos de rastreamento de produtos ou atualizações de pedidos também estavam entre as informações disponíveis publicamente nos mais de 26 milhões de textos enviados.

Por mais que o registro histórico não seja de tanto valor para criminosos, o acesso a uma sequência desse tipo em tempo real pode abrir as portas para uma série de golpes. Eles podem ir desde o roubo de contas, por meio da interceptação de links de troca de senha ou autenticação em dois fatores, até crimes reais como assaltos e sequestros, com bandidos se passando por funcionários de empresas de frete ou instituições médicas que usavam o sistema para confirmar o agendamento de entregas e consultas.

Como os números de celular dos clientes faziam parte do banco de dados vazado, um criminoso poderia, por exemplo, obter o endereço de um cliente ávido por receber seu pacote. Além disso, outras ações de engenharia social poderiam ser realizadas da mesma maneira, em busca de dados bancários ou sigilosos que poderiam ser utilizados na clonagem de cartão, transferências de dinheiro ou extorsão.

Boa parte dos clientes afetados estão nos Estados Unidos, mas reportagem publicada pelo TechCrunch cita que alguns códigos de autenticação em dois fatores de serviços da Google foram enviados a celulares da América Latina. Não se sabe se usuários brasileiros foram afetados pela falha, mas, como sempre falamos por aqui, na dúvida, todo cuidado é pouco.

Em comunicado, o cofundador e CTO da Voxox, Kevin Hertz, disse que a empresa está analisando o caso e tomando todas as medidas que fazem parte das políticas de roubo de brechas na segurança digital. Além disso, o executivo afirmou que, como a descoberta é recente, a companhia ainda está avaliando o impacto da falha, devendo publicar mais informações sobre isso o mais rapidamente possível. Pelo menos por enquanto, também, não há indícios de acesso não-autorizado aos sistemas de SMS ou a utilização de suas informações por hackers ou criminosos.

Fonte: TechCrunch