Um novo estudo conduzido por pesquisadores da Universidade de Princeton, nos Estados Unidos, verificou os riscos de segurança e privacidade causados pela reciclagem de números de celular encabeçados pelas operadoras de telefonia móvel.

Supondo que você obtenha um novo número de telefone, as operadoras de celular geralmente “reciclam” seu número antigo, atribuindo-o a um novo cliente. As companhias dizem que a razão de fazer isso é evitar um futuro hipotético de “esgotamento numérico”, em que todas as combinações possíveis cheguem a um limite.

Só que, na maioria das vezes, os números reciclados permitem que novos clientes acessem informações antigas dos donos anteriores. E mais: eles continuariam recebendo publicidade e avisos que seriam direcionados ao proprietário anterior. Isso, segundo os pesquisadores, poderia servir de brecha para que usuários mal intencionados se aproveitem e consigam dados que, até então, estavam fora de alcance.

O estudo relata um caso específico no qual um usuário de um novo número foi “bombardeado com textos contendo resultados de exames de sangue e reservas de consultas em um spa” — informações estas que, obviamente, eram destinadas a outra pessoa. Embora isso possa parecer mais cômico do que invasivo, há, sim, motivos para se preocupar.

Geralmente, os números de telefone são usados como alternativa na autenticação de dois fatores ou para outros fins de segurança. Acontece que nem todo mundo atualiza suas contas online ao trocar de número, e aí aparece mais um problema: os números antigos podem permanecer como métodos para redefinições de senhas autenticadas por SMS. Na prática, isso significa que os donos atuais podem usar seus números mais recentes para se conectar às contas de clientes anteriores.

Os pesquisadores também afirmam que outras informações pessoais podem ser facilmente coletadas para aumentar essas invasões de conta, normalmente de “sites de busca de pessoas” online, como BeenVerified ou Intelius — estes dois em especifico nem sempre têm os dados mais precisos e atualizados. Números de telefone também podem ser combinados com senhas obtidas em grandes violações de dados. Dessa forma, um hacker mal-intencionado pode cometer fraude ou sequestrar contas para roubar mais informações que permaneciam sigilosas.

Assine a newsletter do Gizmodo

Arvind Narayanan, um dos integrantes que ajudou no desenvolvimento do estudo, disse que 66% dos números reciclados verificados ainda estavam vinculados a contas online de proprietários anteriores e, como resultado, eram potencialmente vulneráveis ​​ao sequestro de contas. Para o relatório, foram observados 259 números de telefone; destes, 215 foram reciclados e estavam suscetíveis a ataques.

Os pesquisadores escrevem:

“Obtivemos 200 números reciclados por uma semana e descobrimos que 19 deles ainda estavam recebendo chamadas e mensagens sensíveis à segurança/privacidade (por exemplo, senhas de autenticação, lembretes de recarga de receitas, entre outras coisas). Novos proprietários que sem saber recebem um número reciclado podem perceber os incentivos para explorar [o aparelho] ao receber comunicações confidenciais não solicitadas.”

Narayanan declarou que depois que ele e seu colega pesquisador, Kevin Lee, entraram em contato com as operadoras sobre esses problemas, “a Verizon e a T-Mobile melhoraram sua documentação, mas não tornaram o ataque mais difícil”. Basicamente, as empresas facilitaram o acesso do usuário a informações sobre essas vulnerabilidades, mas não fizeram nada para impedir que possíveis novos ataques aconteçam.