Хакеры могут украсть паспортные данные из Telegram Passport.
Анализ данных показал, что хакеры легко могут украсть данные из нового сервиса Telegram Passport.
Оказалось, что Telegram Passport уязвим перед методами «грубой силы», так называемым брутфорсом, пишет интернет-издание Хроника.инфо со ссылкой на Новое время.
Passport используется для авторизации в сервисах, требующих достоверного подтверждения личности. По словам разработчиков Telegram, копии документов хранятся в облаке в зашифрованном виде и передаются с использованием сквозного шифрования, которое исключает перехват файлов. Однако, хакеры все же могут расшифровать эти файлы.
По мнению пользователей, которые обнаружили уязвимость, шифрование персональных данных в новом сервисе критически зависит от сложности пароля. Учитывая, что среднестатистический пользователь Telegram не использует пароли длиной более восьми символов, взломать их очень просто.
«Сейчас 2018 год, и один графический процессор топового уровня может проверять примерно 1,5 миллиарда SHA-512 хэшей в секунду Это означает, что десять таких графических процессоров (небольшая ферма для майнинга криптовалюты) могут проверить каждый 8-символьный пароль из 94-символьного алфавита за 4,7 дня! Это $ 135 за пароль в худшем случае, используя средние затраты на электроэнергию США для расчета. На практике, однако, это число может спуститься до $5 за пароль или даже меньше», — подчеркивает пользователь, который обнаружил уязвимость.
Читайте также: Создатели Firefox обратились с необычной просьбой к пользователям
Такое пренебрежение к методам обеспечения безопасности привело к воровству 58 миллионов паролей, украденных у LivingSocial и LinkedIn несколько лет назад. «В случае LinkedIn 90 процентов хешированных паролей были взломаны в течение недели», — подчеркивается в отчете.