Estudo revela como mensagens SMS expõem dados pessoais de milhões de portugueses

Um estudo académico norte-americano vem denunciar aquilo que muitos já suspeitavam: os links enviados por SMS, supostamente para nos facilitar a vida, podem estar a transformar-se numa porta de entrada para quem quer aceder aos nossos dados pessoais mais íntimos.

O trabalho, intitulado "Private Links, Public Leaks: Consequences of Frictionless User Experience on the Security and Privacy Posture of SMS-Delivered URLs" e disponível na plataforma Arxiv da Universidade de Cornell, desmonta a falsa segurança destes sistemas que as empresas nos vendem como "seguros e práticos".

O negócio dos dados pessoais à vista de todos

Os investigadores foram diretos ao assunto: analisaram mais de 33 milhões de mensagens SMS através de gateways públicos que permitem ler mensagens recebidas em números descartáveis. O que descobriram é de arrepiar: 485.286 mensagens continham pelo menos um link válido, dos quais extraíram 322.949 links únicos espalhados por quase 11 mil domínios.

Mas a coisa não fica por aqui. Quando automatizaram o acesso a estes links, conseguiram obter informações de 147.251 URLs. E o que encontraram? Dados pessoais expostos em 701 pontos diferentes, afetando 177 serviços, incluindo datas de nascimento, números de conta bancária e até pontuações de crédito.

Quando um link vale mais que uma palavra-passe

O problema central identificado pelo estudo é aquilo a que chamam "URL como credencial". Na prática, significa que ter o link na mão é suficiente para aceder e, em muitos casos, modificar informações pessoais. É como se a chave da nossa casa fosse deixada debaixo do capacho, mas pior ainda: qualquer um pode fazer cópias.

Os investigadores identificaram quinze serviços onde um intruso poderia modificar registos do utilizador apenas acedendo ao link. Pior ainda: encontraram seis serviços onde o link dá controlo total da conta, permitindo alterar dados críticos como endereço de email ou palavra-passe.

O tempo joga contra os utilizadores

Se pensam que estes links expiram rapidamente, desenganem-se. O estudo revela que 46% dos links com dados pessoais continuavam ativos após dois anos, com casos que remontam a 2019. É como deixar a porta de casa aberta durante anos a fio.

Por setores, os mais afetados são precisamente aqueles que lidam com o nosso dinheiro: "Negócios e Economia" (27 serviços), "Tecnologia da Informação" (23) e "Dados e Serviços Financeiros" (19). Neste último grupo, muitos casos estavam ligados a fluxos de empréstimos com formulários pré-preenchidos, o que aumenta ainda mais o risco de fraude.

A indiferença das empresas

Quando os investigadores tentaram avisar as empresas sobre estas falhas, depararam-se com a típica indiferença corporativa. Enviaram 150 relatórios, apenas dezoito obtiveram resposta e só sete resultaram em correções. Uma vergonha que demonstra como as empresas põem os lucros à frente da proteção dos dados dos seus clientes.

Segundo os autores, as correções implementadas teriam protegido mais de 120 milhões de utilizadores. Quantos mais continuam expostos por pura negligência empresarial?

A luta pela privacidade continua

Este estudo vem confirmar aquilo que os defensores da privacidade digital têm vindo a alertar: a comodidade que nos vendem tem um preço, e esse preço são os nossos dados pessoais. Enquanto as empresas continuarem a tratar a segurança como um custo e não como um direito, continuaremos reféns desta exposição.

É urgente que as autoridades reguladoras acordem e imponham sanções pesadas a quem brinca com os dados pessoais dos cidadãos. Porque no final, quem paga as consequências somos sempre nós, os trabalhadores, que vemos a nossa privacidade vendida ao melhor preço.