Pesquisa alerta que links de autenticação por SMS expõem dados sensíveis de usuários

Uma pesquisa aponta que links de login enviados por SMS, usados como alternativa a usuários e senhas, podem criar falhas graves de segurança e privacidade.

O estudo identificou mais de 700 endpoints associados a 177 serviços que expõem dados sensíveis por meio desse tipo de autenticação. Os pesquisadores coletaram quase 323 mil URLs únicas extraídas de mais de 33 milhões de mensagens enviadas para mais de 30 mil números de telefone.

Segundo a equipe, muitos desses links utilizam tokens fracos ou previsíveis, o que permite que atacantes alterem caracteres no URL para acessar contas de outras pessoas, prática conhecida como enumeração de links.

Durante os testes, foi possível acessar formulários parcialmente preenchidos, datas de nascimento e até números de contas bancárias. Em alguns casos, os links permanecem válidos por anos e concedem acesso completo à conta sem qualquer autenticação adicional além do clique no link recebido por SMS.

Os pesquisadores destacam que o problema é de responsabilidade dos provedores de serviço, e não dos usuários, já que até empresas grandes e consideradas confiáveis adotam esse tipo de implementação insegura. Eles ressaltam que links de autenticação não são necessariamente inseguros quando bem implementados, com tokens criptograficamente fortes, uso único e tempo de expiração curto.