Gostaria de relatar uma falha de segurança grave que permitiu que terceiros acedessem ao código de verificação (2FA) da aplicação Telegram por meio do meu VoiceMail, sem a minha autorização.
Mesmo sem atender a ligação, o código foi deixado na caixa postal, e aparentemente houve acesso externo por alguém que conseguiu ouvir a mensagem — possivelmente utilizando um PIN padrão ou através de "brute force" do PIN.
Entretanto já desativei a funcionalidade de VoiceMail associada ao meu número, mas ficou criada a conta Telegram com o meu número e para ser utilizada, presumo eu, para fins ilícitos.
Seria importante que a operadora avalie novas implementações técnicas para impedir que códigos de verificação sejam interceptados dessa forma.
Apesar de caber ao cliente a definição do PIN de VoiceMail, clientes que tenham criado este serviço à muito tempo ou que desconheciam estas vulnerabilidades deverão, no mínimo, ser avisados desta possibilidade e da sucessiva intensificação deste tipo de atividade por criminosos.
