Оказалось, что Telegram Passport уязвим перед методами "грубой силы", так называемым брутфорсом, пишет The Next Web.
Passport используется для авторизации в сервисах, требующих достоверного подтверждения личности. По словам разработчиков Telegram, копии документов хранятся в облаке в зашифрованном виде и передаются с использованием сквозного шифрования, которое исключает перехват файлов. Однако хакеры все же могут расшифровать эти файлы.
По мнению пользователей, которые обнаружили уязвимость, шифрование персональных данных в новом сервисе критически зависит от сложности пароля. Учитывая, что среднестатистический пользователь Telegram не использует пароли длиной более восьми символов, взломать их очень просто.
"Сейчас 2018 год, и один графический процессор топового уровня может проверять примерно 1,5 миллиарда SHA-512 хэшей в секунду Это означает, что десять таких графических процессоров (небольшая ферма для майнинга криптовалюты) могут проверить каждый 8-символьный пароль из 94-символьного алфавита за 4,7 дня! Это $ 135 за пароль в худшем случае, используя средние затраты на электроэнергию США для расчета. На практике, однако, это число может спуститься до $5 за пароль или даже меньше", - подчеркивает пользователь, который обнаружил уязвимость.
Такое пренебрежение к методам обеспечения безопасности привело к воровству 58 миллионов паролей, украденных у LivingSocial и LinkedIn несколько лет назад. "В случае LinkedIn 90 процентов хешированных паролей были взломаны в течение недели", - подчеркивается в отчете.
В конце июня НВ сообщало, что разработчики мессенджера Telegram запустили новый сервис авторизации на сторонних сайтах под названием Passport. Telegram Passport должен стать аналогом авторизации с помощью учетной записи Facebook.
Сервис Telegram Passport позволяет добавить номер телефона, адрес электронной почты, прописку и различные документы, удостоверяющие личность, такие как паспорт, водительские права и прочее. Эти данные запрашиваются сторонними сайтами для авторизации пользователя.