Resumo
- O Telegram está oferecendo acesso Premium gratuito a alguns usuários em troca de permitir que o serviço use seu número de telefone para enviar códigos de verificação por SMS.
- Aceitar os termos envolve assumir riscos, abrindo portas para vazamentos de dados, assédio e spam.
- A participação neste programa “P2PL” pode violar a política de privacidade do próprio Telegram e as políticas das operadoras contra o envio de mensagens automatizadas, representando riscos aos usuários.
O Telegram começou a oferecer a alguns de seus usuários acesso gratuito à sua assinatura Premium em troca de acesso aos seus telefones para envio de códigos de verificação de login via SMS. O recurso é potencialmente um pesadelo de privacidade e spam, já que os participantes provavelmente serão capazes de ver os números para os quais seus telefones estão enviando códigos. Mesmo que eles não tenham permissão para entrar em contato com esses números de acordo com os termos de serviço, o Telegram não deve fornecer a usuários aleatórios números de telefone de outros usuários por qualquer motivo.
A nova oferta foi descoberta pelo canal Telegram Informações do Telegram em inglês, com os novos termos de serviços chamando o recurso “Programa de login ponto a ponto” (via @AssembleDebug no X). De acordo com capturas de tela compartilhadas pelo canal, o Telegram oferece uma tela inicial em algumas regiões informando aos usuários que eles podem obter o Premium gratuitamente quando “Ajudarem a enviar SMS de login”. De acordo com a captura de tela, isso afeta 0,01% da base total de usuários. Quando os usuários permitirem o acesso, o Telegram usará seus telefones para enviar até 100 códigos de verificação SMS por mês para outros usuários do Telegram, o que dá à pessoa que oferece seu telefone Premium grátis por um mês.
Com base nas capturas de tela, aceitar os termos de serviço parece uma questão de marcar uma caixa de seleção, com o Telegram não garantindo que eles sejam realmente lidos. Isto pode ter sérias consequências de segurança tanto para os remetentes quanto para os destinatários, que verão os números de telefone uns dos outros. Embora o Telegram proíba explicitamente o contato com qualquer um dos números para os quais o telefone de um usuário enviou códigos de verificação, provavelmente não existe um mecanismo de bloqueio técnico eficaz. Da mesma forma, os destinatários do código SMS podem enviar ao remetente perguntas de acompanhamento sobre o processo de login ou qualquer outra mensagem, que o Telegram diz explicitamente que os remetentes devem ignorar.
O Telegram escreve em seus termos de serviço:
3. Privacidade
A arquitetura do Programa P2PL facilita o envio de OTPs, ao mesmo tempo que toma muito cuidado para proteger a privacidade de seus participantes. No entanto, o Telegram não pode impedir que o destinatário do OTP veja seu número de telefone ao receber seu SMS. Portanto, você reconhece e concorda que considerou todas e quaisquer repercussões potenciais que isso possa acarretar e tomou as precauções necessárias para mitigá-las conforme achar adequado. Dessa forma, você entende e concorda que o Telegram não será responsável por qualquer inconveniente, assédio ou dano resultante de ações indesejadas, não autorizadas ou ilegais realizadas por usuários que tomaram conhecimento do seu número de telefone através do P2PL.
3.1 Comunicação
Por outro lado, você concorda em não entrar em contato com nenhum destinatário OTP fora do escopo do seu envolvimento no P2PL. Você concorda em não enviar mensagens além dos códigos SMS automatizados gerados pelo seu aplicativo Telegram, mesmo que o destinatário responda a você. Você também concorda em não entrar em contato ou se comunicar de outra forma com destinatários em quaisquer outras plataformas, incluindo, entre outras, o Telegram. Você reconhece que compartilhar ou divulgar qualquer informação pessoal sobre os destinatários, incluindo seu número de telefone, resultará não apenas no seu encerramento do programa P2PL, mas também poderá resultar em ação legal na medida permitida pela lei aplicável.
Para ser claro, com esta política, os números de telefone de qualquer usuário do Telegram podem ser potencialmente compartilhados com estranhos, mesmo que eles próprios não tenham optado pelo programa – eles podem simplesmente receber um código OTP de um dos telefones que participam do programa, potencialmente vazando seu número de telefone para eles. Mesmo que os termos de serviço proíbam isso, isso abre a porta para vazamentos de dados, assédio, phishing e spam. O Telegram não tem controle sobre esses telefones.
Nos termos de serviço P2PL, a empresa afirma que o programa “pode não estar disponível para usuários em determinadas regiões, de acordo com a demanda atual, fatores econômicos, restrições regulatórias relevantes e infraestrutura de telecomunicações local”. Isto parece indicar que alguns usuários protegidos por leis de privacidade como o GDPR na Europa ou o CCPA na Califórnia podem não receber códigos de números que fazem parte do programa P2PL. No entanto, o Telegram não menciona o fato de compartilhar números de telefone com terceiros para fins de verificação de SMS em sua política de privacidade ou nos termos de serviço Premium, indicando que seu novo programa P2PL viola sua própria política de privacidade.
As pessoas que aderem ao programa P2PL para obter o Telegram Premium gratuitamente também podem enfrentar problemas com seus provedores de serviços móveis. É provável que a maioria das operadoras proíba os assinantes de enviar mensagens automatizadas como essa por meio de suas contas regulares de consumidor. Provavelmente é por isso que o Telegram enviará apenas até 100 mensagens por mês, mas mesmo assim, os participantes poderão ser banidos por sua operadora de celular.
Telegram promete privacidade, mas não segue as melhores práticas do setor
Dado que o Telegram é frequentemente utilizado pela oposição e pelos manifestantes em climas políticos perigosos, a divulgação dos números de telefone dos utilizadores a outras pessoas aleatórias pode ter consequências graves. O Telegram afirma rotineiramente ser um defensor da privacidade com slogans como “O Telegram mantém suas mensagens protegidas contra ataques de hackers” e “As mensagens do Telegram são fortemente criptografadas e podem se autodestruir”, ao mesmo tempo em que é um dos poucos serviços que não usa end -criptografia de ponta a ponta por padrão, armazenando mensagens (criptografadas) em seus servidores. Outros serviços como Signal e WhatsApp armazenam apenas temporariamente mensagens criptografadas em trânsito. Embora o Telegram tenha salvaguardas adicionais, tudo se resume a confiar que a empresa não compartilhará o conteúdo de suas mensagens com outras pessoas.
Com o experimento de verificação de SMS, parece que o Telegram em breve não protegerá mais seus usuários de serem detectados como usuários do Telegram, o que já poderia fornecer aos atores adversos informações suficientes para agir contra eles. Entramos em contato com o Telegram para comentar e atualizaremos a história quando tivermos resposta.
