Estudo revela como empresas expõem dados pessoais através de SMS

Um novo estudo académico vem denunciar uma prática perigosa que afecta milhões de trabalhadores e cidadãos: as empresas estão a usar links enviados por SMS como se fossem credenciais seguras, expondo dados pessoais sensíveis de forma massiva.

A investigação, publicada na plataforma Arxiv da Universidade de Cornell, revela como este sistema aparentemente inocente se tornou numa porta aberta para violações de privacidade que atingem as classes populares de forma desproporcional.

33 milhões de mensagens analisadas

Os investigadores analisaram mais de 33 milhões de mensagens SMS e descobriram 485.286 mensagens com links válidos. O que encontraram é alarmante: 701 serviços estão a expor dados pessoais através destes links, afectando 177 empresas diferentes.

"Possuir o link é tratado como autorização suficiente para ver e modificar informações pessoais", explicam os autores do estudo. Esta lógica perversa coloca em risco dados como datas de nascimento, números de conta bancária e pontuações de crédito.

Quando o link se torna uma chave mestra

O mais grave é que quinze serviços permitem que qualquer pessoa com acesso ao link modifique registos de utilizadores. Seis destes serviços chegam ao extremo de permitir o controlo total da conta, incluindo alteração de passwords e endereços de email.

Para os trabalhadores que dependem destes serviços digitais para aceder a benefícios sociais, empréstimos ou serviços bancários, esta vulnerabilidade representa um risco real de fraude e roubo de identidade.

Dois anos de exposição

A situação torna-se ainda mais grave quando se percebe a duração da exposição: 46% dos links com dados pessoais continuavam activos após dois anos, com alguns casos a remontarem a 2019.

"É como deixar a porta de casa aberta durante anos", compara um especialista em segurança digital consultado pela Voz Livre. "Qualquer pessoa que tenha acesso a esses números pode ver informações que deviam ser privadas."

Sectores financeiros na mira

O estudo identificou uma presença preocupante nos sectores "Dados e Serviços Financeiros" (19 serviços afectados), muitos ligados a fluxos de empréstimos com formulários pré-preenchidos. Isto significa que informações sobre a situação financeira dos cidadãos estão expostas de forma sistemática.

Para as famílias trabalhadoras que recorrem a créditos e empréstimos, esta exposição pode facilitar fraudes e discriminação financeira.

Empresas ignoram alertas

Numa demonstração típica da irresponsabilidade corporativa, os investigadores enviaram 150 relatórios sobre estas vulnerabilidades. Apenas 18 empresas responderam e só 7 implementaram correcções.

Esta atitude negligente das empresas em relação à protecção de dados pessoais dos cidadãos demonstra como os lucros são colocados à frente da segurança e privacidade das pessoas.

Os investigadores estimam que as correcções implementadas protegeram mais de 120 milhões de utilizadores, o que dá uma ideia da dimensão do problema que continua por resolver.

Proteger-se num sistema falido

Enquanto as empresas não assumem as suas responsabilidades, os cidadãos devem estar alertas para links suspeitos recebidos por SMS e evitar clicar em mensagens de origem duvidosa. No entanto, a verdadeira solução passa pela regulamentação rigorosa destas práticas e pela responsabilização das empresas que põem em risco os dados pessoais dos seus utilizadores.