В Telegram Passport обнаружена серьезная уязвимость. Инструмент для верификации данных от разработчиков мессенджера подвержен прямолинейному методу взлома. Это атака, при которой перебираются все возможные варианты паролей.
Слабое место системы обнаружили специалисты Virgil Security, Inc. Компания специализируется на разработке криптографического программного обеспечения и сервисов.
Самая большая проблема Telegram Passport – это пароли. Они создаются при помощи алгоритма хеширования SHA-512. Однако данный метод не предназначен для этого. В справедливости сказанного уже убедились представители социальной сети LinkedIn.
В 2012 году неизвестный хакер украл 8 млн паролей. Злоумышленник опубликовал список хешей с зашифрованными паролями в интернете. 90% из них смогли расшифровать в течение недели.
Опасность состоит также в том, что пароль – это единственный метод защиты в Telegram Passport. Ведь сервис не использует цифровые подписи. А значит, если данные пользователя подделают, никто этого не заметит, включая его самого.
Исследователи уверяют – взломать пароль с современным оборудованием для майнинга криптовалют можно будет меньше чем за 5 дней. При этом стоимость взлома одного аккаунта будет равняться от $5 до $135.
2 года назад в сети Telegram уже была массовая утечка. Тогда из-за ошибки аутентификации в сеть просочилось 15 млн номеров телефонов жителей Ирана.