Анализ данных показал, что хакеры легко могут украсть данные из нового сервиса Telegram Passport.
Оказалось, что Telegram Passport уязвим перед методами «грубой силы», так называемым брутфорсом, пишет интернет-издание Хроника.инфо со ссылкой на Новое время.
Passport используется для авторизации в сервисах, требующих достоверного подтверждения личности. По словам разработчиков Telegram, копии документов хранятся в облаке в зашифрованном виде и передаются с использованием сквозного шифрования, которое исключает перехват файлов. Однако, хакеры все же могут расшифровать эти файлы.
По мнению пользователей, которые обнаружили уязвимость, шифрование персональных данных в новом сервисе критически зависит от сложности пароля. Учитывая, что среднестатистический пользователь Telegram не использует пароли длиной более восьми символов, взломать их очень просто.
«Сейчас 2018 год, и один графический процессор топового уровня может проверять примерно 1,5 миллиарда SHA-512 хэшей в секунду Это означает, что десять таких графических процессоров (небольшая ферма для майнинга криптовалюты) могут проверить каждый 8-символьный пароль из 94-символьного алфавита за 4,7 дня! Это $ 135 за пароль в худшем случае, используя средние затраты на электроэнергию США для расчета. На практике, однако, это число может спуститься до $5 за пароль или даже меньше», — подчеркивает пользователь, который обнаружил уязвимость.
Читайте также: Создатели Firefox обратились с необычной просьбой к пользователям
Такое пренебрежение к методам обеспечения безопасности привело к воровству 58 миллионов паролей, украденных у LivingSocial и LinkedIn несколько лет назад. «В случае LinkedIn 90 процентов хешированных паролей были взломаны в течение недели», — подчеркивается в отчете.