O Telegram Oferece Assinatura Premium em Troca do Uso do Seu Número para Enviar OTPs
28 de Março de 2024

Em junho de 2017, um estudo realizado com mais de 3.000 estudantes do Instituto de Tecnologia de Massachusetts (MIT) publicado pelo National Bureau for Economic Research (NBER) descobriu que 98% deles estavam dispostos a dar os endereços de e-mail de seus amigos em troca de uma pizza grátis.

"Embora as pessoas digam que se importam com a privacidade, estão dispostas a desistir de dados privados facilmente quando incentivadas a fazê-lo", disse a pesquisa, apontando o que é chamado de paradoxo da privacidade.

Agora, quase sete anos depois, o Telegram introduziu um novo recurso que oferece a alguns usuários uma associação premium gratuita em troca de permitir que o popular aplicativo de mensagens use seus números de telefone como um relay para enviar senhas de uso único (OTPs) para outros usuários que estão tentando fazer login na plataforma.

O recurso, chamado Peer-to-Peer Login (P2PL), está atualmente sendo testado em países selecionados para usuários Android do Telegram.

Foi visto pela primeira vez pelo tginfo em fevereiro de 2024 (via @AssembleDebug).

Segundo os termos de serviço do Telegram, o número de telefone será usado para enviar no máximo 150 mensagens OTP SMS por mês, incluindo SMS internacionais, incorrendo em cobranças do provedor de serviços móveis ou provedor de serviços do usuário.

Dito isso, o popular aplicativo de mensagens observa que ele "não pode impedir o destinatário do OTP de ver seu número de telefone ao receber suas mensagens" e que ele "não será responsável por qualquer inconveniente, assédio ou dano resultante de ações indesejadas, não autorizadas ou ilegais realizadas por usuários que conheceram seu número de telefone por meio do P2PL".

Pior ainda, o mecanismo, que se baseia em grande parte em um sistema de honra, não proíbe os usuários de entrar em contato com estranhos cujo número o SMS de autenticação OTP foi enviado, e vice-versa, o que potencialmente pode levar a um aumento nas ligações e mensagens de spam.

O Telegram disse que se reserva o direito de encerrar unilateralmente uma conta do programa P2PL se os participantes forem encontrados compartilhando informações pessoais sobre os destinatários.

Ele também adverte aos usuários para não contatar os destinatários do OTP ou respondê-los, mesmo se eles enviarem mensagens para eles.

A partir de março de 2024, o Telegram tem mais de 900 milhões de usuários ativos mensalmente.

Lançou o programa de assinatura Premium em junho de 2022, permitindo que os usuários desbloqueiem recursos adicionais, como uploads de arquivos de 4 GB, downloads mais rápidos e adesivos e reações exclusivas.

Com os serviços online ainda contando com números de telefone para autenticar usuários, vale a pena ter em mente os riscos de privacidade e segurança que podem surgir ao participar do experimento.

O desenvolvimento vem como documentos judiciais recém-revelados nos EUA alegaram que a Meta lançou um projeto secreto chamado Ghostbusters para interceptar e descriptografar o tráfego de rede de pessoas que usam Snapchat, YouTube e Amazon para ajudá-la a entender o comportamento do usuário e competir melhor com seus rivais.

Isso foi realizado aproveitando aplicativos customizados de um serviço VPN chamado Onavo, que o Facebook adquiriu em 2013 e encerrou em 2019 depois que foi criticado por usar seus produtos para rastrear a atividade na web dos usuários relacionada aos seus concorrentes e por pagar secretamente aos adolescentes para capturar seus padrões de navegação na internet.

O esquema de interceptação de dados foi descrito como uma abordagem "man-in-the-middle", em que o Facebook basicamente pagou pessoas entre 13 e 35 anos até US$ 20 por mês mais taxas de referência para instalar um aplicativo de pesquisa de mercado e dar a ele acesso elevado para inspecionar o tráfego de rede e analisar o uso da internet.

A tática contava com a criação de "certificados digitais falsos para se passar por servidores de análise confiáveis do Snapchat, YouTube e Amazon para redirecionar e decifrar o tráfego seguro desses aplicativos para a análise estratégica do Facebook".

Os aplicativos foram distribuídos através de serviços de teste beta, como Applause, BetaBound e uTest, para ocultar o envolvimento do Facebook.

O programa, que posteriormente passou a ser conhecido como Painel de Ação In-App (IAAP), funcionou de 2016 a 2018.

A Meta, em sua resposta, disse que não há crime ou fraude e que "a própria testemunha do Snapchat sobre publicidade confirmou que o Snap não pode 'identificar uma única venda de anúncio que [ele] perdeu pelo uso de produtos de pesquisa de usuários da Meta', não sabe se outros concorrentes coletaram informações semelhantes, e não sabe se alguma das pesquisas da Meta proporcionou à Meta uma vantagem competitiva".

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...