O Telegram está no centro do noticiário político brasileiro nos últimos meses, desde que mensagens supostamente trocadas entre o procurador Deltan Dallagnol e o então juiz e hoje ministro da Justiça Sergio Moro vieram à tona em reportagens do site The Intercept Brasil. De acordo com a Polícia Federal, o Telegram do celular de Moro teria sido invadido por pessoas que exploraram pontos fracos das operadoras e da verificação de identidade do aplicativo.

O app reagiu a esse caso e não vai mais ligar para o usuário para informar o código se a verificação em duas etapas não estiver ativa. Esse recurso exige que o usuário crie e use uma senha para entrar no aplicativo. Assim, não basta ter acesso ao código de login.

O anúncio foi feito sem muito alarde pelo Twitter e notada pelo Manual do Usuário. Em um tuíte, Moro diz que “ninguém foi hackeado por falta de cautela” e que a vulnerabilidade “será corrigida graças à investigação da Polícia Federal“. O jornalista Pedro Doria, então, respondeu o ministro falando sobre a verificação em duas etapas — que, como dissemos, está disponível no app e teria evitado essa invasão. A conta do Telegram para o Brasil entrou na conversa e informou a mudança.

Na quinta-feira, quando a PF falou sobre o esquema usado nos ataques, refizemos os passos e verificamos que o mesmo código era enviado pelo app, e havia a opção para recebê-lo por SMS depois de dois minutos e por chamada telefônica depois de mais dois minutos.

Hoje, tentei novamente fazer login para ver se a chamada telefônica foi desativada e tive uma pequena surpresa: o Telegram Web — que roda em qualquer navegador e teria sido a versão do app usada pelos hackers, segundo a PF — agora impõe uma espera de uma hora antes de enviar o SMS.

De fato, uma das críticas que fizemos foi justamente essa: dois minutos para enviar o mesmo código por outro meio (SMS e depois ligação) é pouco tempo. Esse intervalo deveria ser maior, ou o código gerado para login deveria expirar mais rápido para diminuir as chances de que alguém consiga acessar a caixa postal e pegar o código.

Como o especialista em cibersegurança Altieres Rohr observa em seu blog no G1, os acusados teriam usado um único método para obter acesso a muitas contas do Telegram, o que denota uma baixa especialização e um certo amadorismo. Além disso, Rohr conta que o golpe que teria sido usado nesse caso é bastante conhecido.

A mudança no Telegram é um primeiro passo, mas seria bom se a verificação em duas etapas fosse obrigatória ou ativada por padrão. Além disso, como Rohr lembra, outras empresas também precisam reforçar seus procedimentos de segurança. As operadoras não podem dar o acesso à caixa postal de maneira tão fácil — enquanto isso não muda, desativar o serviço é uma opção. Já os provedores de VoIP, que foram usados para manter as linhas dos alvos ocupadas para fazer o código do Telegram cair na caixa de mensagens, precisam melhorar suas políticas contra abusos de chamada.

Enquanto isso, faça sua parte: ative a verificação em duas etapas.

[Telegram via Manual do Usuário no Twitter]