Segundo a Polícia Federal, hackers teriam usado a técnica chamada spoofing para enganar operadoras, acessar a caixa postal das linhas atacadas e ouvir os números de autenticação fornecidos pelo app por meio de chamada telefônica. Com a mudança no procedimento, válida nas versões do aplicativo para Android e iPhone (iOS), só é possível obter o código dessa maneira mediante digitação de uma senha adicional.

Operadoras corrigem brecha que permitiu acesso à caixa postal de autoridades

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

Segundo o Telegram, a medida é suficiente para não se preocupar “se as operadoras de telefonia demorarem muito para consertar as vulnerabilidades no sistema de caixa postal delas”.

Ao entrar no mensageiro em um novo aparelho, o app passa a oferecer o envio de código por ligação apenas se o usuário digitar a senha da verificação em duas etapas na sequência. Se a conta não tiver a proteção configurada, é possível pedir a numeração somente via SMS ou por meio de outro dispositivo que já tenha acesso ao perfil.

Segundo a PF, os hackers teriam lançado mão de um recurso chamado Caller ID Spoofing. A função falsifica o identificador de chamada para fazer com que uma ligação proveniente de uma determinada linha apareça com outro número no celular do destinatário.

Na invasão ao perfil de Moro no Telegram, os acusados teriam usado a técnica para simular uma ligação do próprio ministro à sua caixa postal e, assim, ouvir o código de verificação do aplicativo — quando um telefone não está disponível (desligado ou fora de serviço), o app deixa uma gravação contendo a numeração. A vulnerabilidade no sistema da operadora estaria justamente em não identificar o golpe e liberar o acesso do invasor ao recado de voz.

A suspeita é que as supostas vítimas dos hackers não teriam configurado a verificação em duas etapas no aplicativo. A ativação d