Estudo revela 700 vulnerabilidades sérias na autenticação via SMS

Os links de autenticação enviados por SMS por empresas e serviços online estão colocando em risco as informações de milhões de usuários em todo o mundo, aumentando significativamente os riscos à segurança digital. Uma pesquisa recente revelou mais de 700 sistemas que utilizam mensagens de texto com esses links em nome de mais de 175 serviços, comprometendo a privacidade e a proteção de dados dos consumidores.

Esse método de autenticação tem ganhado popularidade entre diversas empresas, que vão desde plataformas de cotação de seguros até serviços de indicação de babás e tutores acadêmicos. Essa abordagem, que busca facilitar a vida do usuário ao dispensar o uso de senhas complexas, exige apenas um número de celular durante o cadastro, com os links de autenticação enviados via SMS.

Entretanto, muitos desses links apresentam falhas críticas que permitem que criminosos acessem contas alheias de maneira relativamente fácil. Pesquisadores de universidades de Novo México, Arizona e Louisiana, juntamente com a empresa Circle, identificaram que esses ataques são diretos e podem ser escalados com eficiência.

Entre as falhas mais graves estão os links com tokens que podem ser manipulados facilmente. Os especialistas conseguiram acessar contas de outros usuários apenas alterando pequenos detalhes nos links. Por exemplo, a troca de um token “123” por “124” ou de “ABC” para “ABD” permitiu a visualização de informações pessoais de seguro.

Outros casos revelaram que os pesquisadores poderiam ter realizado transações sensíveis em nome de usuários, visto que alguns serviços usavam links com combinações de tokens excessivamente limitadas, tornando-se vulneráveis a ataques de força bruta. Além disso, havia casos em que era possível acessar ou modificar dados do usuário sem verificações adicionais, usando apenas o link.

### Uma ameaça invisível e generalizada

Apesar dos riscos já conhecidos, a prática de autenticação por SMS continua se espalhando. Para dimensionar essa problemática, foram analisados portais de SMS que oferecem números temporários para receber mensagens sem revelar o telefone verdadeiro.

Os números encontrados são alarmantes. A análise resultou na coleta de 332.000 URLs únicas extraídas de 33 milhões de mensagens SMS enviadas para mais de 30.000 números de telefone. Dentre essas mensagens, 701 endpoints expunham informações pessoais críticas, como números de seguro social, datas de nascimento, contas bancárias e pontuações de crédito.

Das 701 empresas analisadas, 125 apresentavam vulnerabilidades que permitiam a enumeração em massa de URLs válidas devido à baixa complexidade dos tokens. Isso permitia que atacantes que recebiam links do mesmo serviço facilmente alterassem esses links para acessar contas de outros.

A equipe de pesquisa destaca que as causas dessas falhas estão relacionadas aos provedores de serviços, e o ónus de resolver essas questões é deles. Mesmo serviços estabelecidos e com milhões de usuários ativos apresentavam essas vulnerabilidades.

As mensagens SMS, que são transmitidas sem criptografia, agravam ainda mais essa situação. Pesquisadores já encontraram bancos de dados públicos que continham mensagens de texto enviadas anteriormente, abrangendo links de autenticação e dados pessoais, como nomes e endereços.

A popularidade dos links de autenticação por SMS vem, em grande parte, da facilidade percebida pelos usuários. Além disso, serviços dessa natureza não precisam armazenar senhas, que são frequentemente alvo de ataques. Contudo, muitas empresas implementam essa solução com configurações inseguras ou sem uma revisão adequada de segurança.

Especialistas em segurança lembram que os links de autenticação via SMS ou e-mail podem ser seguros, desde que utilizados da maneira correta. Algumas plataformas focadas na privacidade optaram por autenticar usuários com “links mágicos” enviados por e-mail, com medidas de proteção adicionais.

Para garantir a segurança, é essencial que esses links tenham um tempo de expiração limitado e que um segundo fator de autenticação, além do link enviado, seja implementado. Informações de baixa segurança, como data de nascimento ou CEP, não são suficientes.

Por hora, os usuários devem estar cientes de que muitos links de autenticação recebidos por SMS podem expor seus dados sensíveis. Esta realidade não parece ser revertida tão cedo, pois, dos 150 provedores afetados que foram contatados, apenas 18 responderam e apenas 7 corrigiram as falhas identificadas.