В новом идентификационном сервисе Telegram обнаружена критическая уязвимость

В новом идентификационном сервисе Telegram обнаружена критическая уязвимость

Подробности

Опубликовано: 02 Август 2018

Сервис для хранения документов и мгновенной аутентификации Telegram Passport, который станет первым шагом к запуску блокчейн-системы TON, обнаружен способ похитить данные пользователей.

Telegram Passport уязвим перед так называемыми атаками полного перебора (brute force, брутфорс-атаки). Об этом сообщил разработчик криптографического ПО Virgil Security.

Согласно исследователям из Virgil Security, сервис отправляет в облако зашифрованные пользовательские данные, криптографические ключи, а также хэш от персональных данных, смешанных со случайными байтами. Для хранения Telegram использует алгоритм хеширования SHA-512, который не предназначен для хеш-паролей. Такая ошибка делает пароли недостаточно защищенными.

Virgil Security напоминает, что использование неподходящего алгоритма хеширования привело к потере 50 млн паролей у соцсети LivingSocial в 2013 и 8 млн паролей LinkedIn в 2012.

«Пароль объединяется дважды со случайной солью и помещается в хеш-функцию SHA-512. Сначала кажется, что хорошо, но знаете что? Это 2018 год, и один графический процессор последнего поколения способен проверять примерно 1,5 миллиарда SHA-512 хешей в секунду. Это означает, что десять таких графических процессоров (небольшая ферма для добычи криптовалюты) смогут подобрать 8-символьный пароль из 94-символьного алфавита за 4,7 дня! Это $135 за пароль в худшем случае, используя средние затраты на электроэнергию США для расчета. На практике, однако, это число может составить $5 за пароль или даже меньше, учитывая, что люди не всегда выбирают сложные пароли».

26 июля Telegram анонсировала запуск Telegram Passport, нового сервиса, который позволяет загружать и хранить документы, такие как паспорт, водительские права и банковские выписки, а затем делиться ими со сторонними сервисами, такими как криптокошельки, платежные системы и всеми теми, которые соблюдают требования Know Your Клиент (KYC) по идентификации и верификации личности клиента.

Подписывайтесь на наш Telegram-канал: новости и аналитика из первых рук! 

Источник

No votes yet.
Please wait...

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.