Alerta de Segurança: Telegram Permite Troca Silenciosa de Número de Telefone Após Roubo de Conta
Um usuário relata uma falha crítica no Telegram que permite a troca silenciosa do número de telefone associado a uma conta, levando à perda total de acesso. A vulnerabilidade, explorada através de phishing, levanta sérias preocupações sobre a segurança da plataforma.
MundiX News·12 de junho de 2026·4 min de leitura·👁 7 views
Até recentemente, acreditava-se que uma conta Telegram, quando vinculada a um número de telefone real e protegida por um dispositivo confiável, seria extremamente difícil de ser roubada remotamente. A expectativa era que, no máximo, um invasor pudesse abrir uma nova sessão e acessar as conversas. No entanto, a realidade se mostrou mais sombria: em questão de dias, um atacante pode desvincular o número de telefone original de forma irreversível e silenciosa, resultando na perda completa de acesso para o usuário legítimo. Essa possibilidade, que vai contra os valores de segurança proclamados pelo serviço, foi uma surpresa desagradável.
É importante notar que essa brecha de segurança é relativamente simples de corrigir, mas, inexplicavelmente, ainda persiste. Além disso, a equipe de suporte parece sobrecarregada, com usuários (mesmo os assinantes pagos) enfrentando longas esperas e poucas chances de recuperar suas contas. Por essa razão, torna-se crucial expor essa vulnerabilidade publicamente, na esperança de que os desenvolvedores do Telegram a reconheçam e implementem as medidas de segurança necessárias para mitigar esses riscos.
Descrição do Esquema de Roubo de Conta e Possíveis Soluções de Prevenção
Por muitos anos, minha conta pessoal do Telegram esteve associada a um único número de telefone. Recentemente, recebi uma mensagem em outra rede social de alguém que se dizia gerente de uma loja de roupas, oferecendo uma colaboração como embaixador da marca. A mensagem continha um link malicioso que direcionava para um perfil do Telegram de um suposto funcionário, com quem eu deveria entrar em contato para obter mais detalhes. Como acessei o link de um computador sem o aplicativo Telegram instalado, a versão web do aplicativo foi aberta, exigindo a leitura de um QR code com um dispositivo móvel confiável. Por estar sonolento e cansado, escaneei o código sem hesitar, confirmei o login e acessei com sucesso uma versão web de phishing do Telegram. Dias depois, descobri que minha conta havia sido desvinculada do meu número de telefone original, e eu perdi o acesso a ela.
É crucial destacar que não recebi nenhuma notificação por SMS sobre a alteração do número. Idealmente, uma mensagem deveria ter sido enviada, algo como: "Alguém está tentando desvincular este número de telefone da sua conta Telegram e alterá-lo para outro. Se você não solicitou essa alteração, acesse sua conta imediatamente para interromper o processo." Uma alternativa ainda mais simples seria implementar um período de "janela de espera", digamos, de um mês, durante o qual o usuário ainda poderia acessar a conta com o número de telefone que está sendo desvinculado e ver uma notificação dentro do aplicativo com a opção de cancelar o processo. A atual troca abrupta e silenciosa de número representa um risco muito maior de perda de acesso à conta do que uma janela de transição mais suave.
No momento da publicação deste artigo, o acesso à minha conta foi completamente perdido. Não há como recuperá-la para o número anterior ou mesmo limitar o envio de mensagens a partir dela para prevenir possíveis tentativas de fraude entre meus contatos. As solicitações de suporte permanecem sem resposta há vários dias. Talvez eu esteja interpretando mal a situação e a ideia de uma janela de transição para a troca de número não seja a melhor solução, mas ficaria muito grato por explicações detalhadas sobre o porquê.
Até recentemente, acreditava-se que uma conta Telegram, quando vinculada a um número de telefone real e protegida por um dispositivo confiável, seria extremamente difícil de ser roubada remotamente. A expectativa era que, no máximo, um invasor pudesse abrir uma nova sessão e acessar as conversas. No entanto, a realidade se mostrou mais sombria: em questão de dias, um atacante pode desvincular o número de telefone original de forma irreversível e silenciosa, resultando na perda completa de acesso para o usuário legítimo. Essa possibilidade, que vai contra os valores de segurança proclamados pelo serviço, foi uma surpresa desagradável.
É importante notar que essa brecha de segurança é relativamente simples de corrigir, mas, inexplicavelmente, ainda persiste. Além disso, a equipe de suporte parece sobrecarregada, com usuários (mesmo os assinantes pagos) enfrentando longas esperas e poucas chances de recuperar suas contas. Por essa razão, torna-se crucial expor essa vulnerabilidade publicamente, na esperança de que os desenvolvedores do Telegram a reconheçam e implementem as medidas de segurança necessárias para mitigar esses riscos.
Descrição do Esquema de Roubo de Conta e Possíveis Soluções de Prevenção
Por muitos anos, minha conta pessoal do Telegram esteve associada a um único número de telefone. Recentemente, recebi uma mensagem em outra rede social de alguém que se dizia gerente de uma loja de roupas, oferecendo uma colaboração como embaixador da marca. A mensagem continha um link malicioso que direcionava para um perfil do Telegram de um suposto funcionário, com quem eu deveria entrar em contato para obter mais detalhes. Como acessei o link de um computador sem o aplicativo Telegram instalado, a versão web do aplicativo foi aberta, exigindo a leitura de um QR code com um dispositivo móvel confiável. Por estar sonolento e cansado, escaneei o código sem hesitar, confirmei o login e acessei com sucesso uma versão web de phishing do Telegram. Dias depois, descobri que minha conta havia sido desvinculada do meu número de telefone original, e eu perdi o acesso a ela.
É crucial destacar que não recebi nenhuma notificação por SMS sobre a alteração do número. Idealmente, uma mensagem deveria ter sido enviada, algo como: "Alguém está tentando desvincular este número de telefone da sua conta Telegram e alterá-lo para outro. Se você não solicitou essa alteração, acesse sua conta imediatamente para interromper o processo." Uma alternativa ainda mais simples seria implementar um período de "janela de espera", digamos, de um mês, durante o qual o usuário ainda poderia acessar a conta com o número de telefone que está sendo desvinculado e ver uma notificação dentro do aplicativo com a opção de cancelar o processo. A atual troca abrupta e silenciosa de número representa um risco muito maior de perda de acesso à conta do que uma janela de transição mais suave.
No momento da publicação deste artigo, o acesso à minha conta foi completamente perdido. Não há como recuperá-la para o número anterior ou mesmo limitar o envio de mensagens a partir dela para prevenir possíveis tentativas de fraude entre meus contatos. As solicitações de suporte permanecem sem resposta há vários dias. Talvez eu esteja interpretando mal a situação e a ideia de uma janela de transição para a troca de número não seja a melhor solução, mas ficaria muito grato por explicações detalhadas sobre o porquê.
