Система идентификации пользователей Telegram Passport, начавшая работу на прошлой неделе, недостаточно защищена. Как написал эксперт компании Virgil Security Алексей Ермишкин, специализирующейся на обеспечении кибербезопасности, "паспорта" Telegram уязвимы для брутфорс-атак, когда хакеры пытаются подобрать пароли к аккаунту по словарю предполагаемых кодовых фраз.
По словам Ермишкина, разработчики мессенджера допустили грубую ошибку, выбрав в качестве алгоритма для хэширования паролей SHA-512, не предназначенный для этого. "На дворе 2018 год, и сегодня видеоускоритель топового уровня может методом 'грубой силы' проверить около 1,5 миллиарда хэшей SHA-512, — написал исследователь. — Это означает, что десять таких GPU (небольшая ферма для майнинга криптовалют) способны проверить любой 8-символьный пароль из 94-символьного алфавита за 4,7 дня!"
С учетом того, как многие пользователи небрежно относятся к выбору пароля, взлом одного аккаунта может обойтись в $5 и даже меньшую сумму (исходя из средней стоимости электричества в США, затраченного на вычисления), написал Ермишкин.
Небрежное отношение к защите данных привела к краже 58 миллионов паролей у LinkedIn и LivingSocial несколько лет назад. "В случае с LinkedIn, 90% хэшированных паролей было расшифровано в течение недели", — напомнил эксперт.
Telegram запустила хранилища для документов, по которым пользователи смогут подтверждать свою личность на сторонних сервисах, 26 июля. Пользователям понадобится только однажды загрузить в Telegram документы и другую персональную информацию: например, сканы гражданского паспорта, номер телефона, адрес проживания и электронную почту.
По словам разработчиков, данные надежно защищены технологией сквозного шифрования, а сам Telegram доступа к ним не имеет. "В будущем все данные Telegram Passport будут переведены в децентрализованное облако", — сказали в компании.