"Паспорта" Telegram назвали небезопасными

Система идентификации пользователей Telegram Passport, начавшая работу на прошлой неделе, недостаточно защищена. Как написал эксперт компании Virgil Security Алексей Ермишкин, специализирующейся на обеспечении кибербезопасности, "паспорта" Telegram уязвимы для брутфорс-атак, когда хакеры пытаются подобрать пароли к аккаунту по словарю предполагаемых кодовых фраз.

Система идентификации пользователей Telegram Passport, начавшая работу на прошлой неделе, недостаточно защищена. Как написал эксперт компании Virgil Security Алексей Ермишкин, специализирующейся на обеспечении кибербезопасности, "паспорта" Telegram уязвимы для брутфорс-атак, когда хакеры пытаются подобрать пароли к аккаунту по словарю предполагаемых кодовых фраз.

По словам Ермишкина, разработчики мессенджера допустили грубую ошибку, выбрав в качестве алгоритма для хэширования паролей SHA-512, не предназначенный для этого. "На дворе 2018 год, и сегодня видеоускоритель топового уровня может методом 'грубой силы' проверить около 1,5 миллиарда хэшей SHA-512, — написал исследователь. — Это означает, что десять таких GPU (небольшая ферма для майнинга криптовалют) способны проверить любой 8-символьный пароль из 94-символьного алфавита за 4,7 дня!"

С учетом того, как многие пользователи небрежно относятся к выбору пароля, взлом одного аккаунта может обойтись в $5 и даже меньшую сумму (исходя из средней стоимости электричества в США, затраченного на вычисления), написал Ермишкин.

Небрежное отношение к защите данных привела к краже 58 миллионов паролей у LinkedIn и LivingSocial несколько лет назад. "В случае с LinkedIn, 90% хэшированных паролей было расшифровано в течение недели", — напомнил эксперт.

Telegram запустила хранилища для документов, по которым пользователи смогут подтверждать свою личность на сторонних сервисах, 26 июля. Пользователям понадобится только однажды загрузить в Telegram документы и другую персональную информацию: например, сканы гражданского паспорта, номер телефона, адрес проживания и электронную почту.

По словам разработчиков, данные надежно защищены технологией сквозного шифрования, а сам Telegram доступа к ним не имеет. "В будущем все данные Telegram Passport будут переведены в децентрализованное облако", — сказали в компании.