Pesquisa encontra 700 brechas críticas em autenticação via SMS

Os Links de autenticação SMS enviados por sites e serviços online estão expondo informações sensíveis de milhões de usuários ao redor do mundocriando sérios riscos de segurança digital. Uma pesquisa recente identificou mas 700 pontos finais que enviam mensagens de texto com links de autenticação em nome de mais de 175 serviços que comprometem diretamente a privacidade e a proteção de dados dos consumidores.

Este método de autenticação vem sendo amplamente adotado por empresas que oferecem diversos serviços – desde cotações de seguros e listagens de empregos até indicações de babás de animais e tutores acadêmicos. Para eliminar o incômodo de criar e gerenciar senhas, estas plataformas solicitam apenas um número de celular no cadastro e posteriormente enviam links ou códigos via SMS para autenticação.

O problema é que muitos desses links possuem falhas críticas de segurança que permitem a criminosos acessar contas de terceiros com relativa facilidade. De acordo com um artigo publicado recentemente por pesquisadores das universidades de Novo México, Arizona, Louisiana e da empresa Circle, estes ataques são “diretos para testar, verificar e executar em larga escala”.

Entre as falhas mais graves identificadas estão os links com tokens que podem ser facilmente manipulados. Os pesquisadores conseguiram acessar contas de outros usuários simplesmente modificando os números ou letras que aparecem no final das URLs. Por exemplo, alterando um token “123” para “124” ou “ABC” para “ABD”. Através dessa técnica simples, era possível visualizar informações pessoais, como aplicações de seguros parcialmente preenchidas.

Em outros casos, os pesquisadores poderiam ter realizado transações sensíveis se passando por outros usuários. Alguns serviços utilizavam links com tão poucas combinações possíveis de tokens que se tornavam extremamente vulneráveis a ataques de força bruta. Outra falha crítica era a permissão para acessar ou modificar dados do usuário sem nenhuma verificação adicional além do próprio link.

Uma ameaça invisível e generalizada

Apesar dos riscos conhecidos, a prática continua a se expandir. Para dimensionar o problema, os pesquisadores analisaram gateways públicos de SMS – sites baseados em anúncios que permitem o uso de números temporários para receber mensagens de texto sem revelar o telefone real.

Mesmo com essa visão limitada, os números são alarmantes. A equipe coletou 332.000 URLs únicas extraídas de 33 milhões de mensagens SMS, enviadas para mais de 30.000 números de telefone. Entre essas, mensagens originadas de 701 endpoints expunham “informações pessoais identificáveis críticas” como números de seguro social, datas de nascimento, números de contas bancárias e pontuações de crédito.

Das 701 empresas analisadas, 125 permitiam a enumeração em massa de URLs válidas devido à baixa entropia dos tokens. Isso significa que atacantes que tivessem recebido links do mesmo serviço poderiam facilmente modificá-los para acessar contas de outras pessoas.

Muhammad Danish, autor principal do estudo, ressalta que “as causas fundamentais que encontramos estão relacionadas aos provedores de serviços e o ônus é deles”. Segundo ele, mesmo serviços bem estabelecidos com milhões de usuários ativos apresentavam estas vulnerabilidades.

“Podemos dizer aos usuários que não devem fornecer detalhes sensíveis a fontes não confiáveis, mas essa sugestão falha no nosso caso, pois nossa lista inclui até provedores de serviços bem estabelecidos com milhões de usuários ativos”

As mensagens SMS são transmitidas sem criptografiao que agrava ainda mais o problema. Em anos anteriores, pesquisadores descobriram bancos de dados públicos com mensagens de texto anteriormente enviadas que continham links de autenticação e detalhes privados, incluindo nomes e endereços de pessoas.

A popularidade desse método de autenticação se deve principalmente à menor fricção percebida pelos clientes em potencial. Outro benefício é que os serviços não precisam coletar e armazenar nomes de usuário e senhas, que frequentemente são alvos de ataques hackers. No entanto, as empresas muitas vezes implementam essa solução com configurações incorretas ou sem revisões adequadas de segurança.

Os especialistas em segurança ressaltam que links de autenticação enviados por SMS ou e-mail não são automaticamente inseguros, desde que implementados corretamente. Sites conscientes da privacidade, como DuckDuckGo e 404 Media, optaram por autenticar usuários com “links mágicos” enviados por e-mail, mas com medidas de proteção adicionais.

Para serem seguros, esses links devem ter tempo de expiração limitado (geralmente 24 horas) para reduzir as chances de serem usados por terceiros. Outra forma de fortalecer a segurança é exigir um segundo fator de autenticação além do link enviado, embora informações de baixa segurança como data de nascimento ou CEP sejam insuficientes.

Por enquanto, os usuários devem estar cientes de que muitos dos links de autenticação recebidos via SMS podem estar expondo seus dados sensíveis, e essa prática não deve mudar tão cedo. Dos 150 provedores de serviços afetados que os pesquisadores conseguiram contatar, apenas 18 responderam e somente 7 corrigiram as falhas identificadas.