У новому сервісі від Telegram знайшли серйозну уразливість

3 серпня 2018, 09:04
Вы также можете прочесть этот материал на русском языке

Аналіз даних показав, що хакери легко можуть вкрасти дані з нового сервісу Telegram Passport.

Виявилося, що Telegram Passport вразливий перед методами "грубої сили", так званим брутфорсом, пише The Next Web.

Passport використовується для авторизації в сервісах, які потребують достовірного підтвердження особи. За словами розробників Telegram, копії документів зберігаються в хмарі в зашифрованому вигляді і передаються з використанням наскрізного шифрування, яке виключає перехоплення файлів. Однак хакери все ж можуть розшифрувати ці файли.

Відео дня

На думку користувачів, які виявили уразливість, шифрування персональних даних в новому сервісі критично залежить від складності пароля. З огляду на те, що середньостатистичний користувач Telegram не використовує паролі довжиною більше восьми символів, зламати їх дуже просто.

"Зараз 2018 рік, і один графічний процесор топового рівня може перевіряти приблизно 1,5 мільярда SHA-512 хеш в секунду Це означає, що десять таких графічних процесорів (невелика ферма для майнингу криптовалюти) можуть перевірити кожен 8-символьний пароль з 94-символьного алфавіту за 4,7 дня! Це $135 за пароль в гіршому випадку, використовуючи середні витрати на електроенергію США для розрахунку. Проте на практиці це число може спуститися до $5 за пароль або навіть менше", - наголошує користувач, який виявив уразливість.

Таке нехтування методами забезпечення безпеки призвело до крадіжки 58 мільйонів паролів, вкрадених у LivingSocial і LinkedIn кілька років тому. "У випадку LinkedIn 90 відсотків хешованих паролів були зламані протягом тижня", - наголошено в звіті.

Наприкінці червня НВ повідомляло, що розробники месенджера Telegram запустили новий сервіс авторизації на сторонніх сайтах під назвою Passport. Telegram Passport повинен стати аналогом авторизації за допомогою облікового запису Facebook.

Сервіс Telegram Passport дозволяє додати номер телефону, адреса електронної пошти, прописку та різні документи, що засвідчують особу, такі як паспорт, водійські права та інше. Ці дані запитуються сторонніми сайтами для авторизації користувача.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X