Недавно анонсированный инструмент персональной идентификации от Telegram оказался уязвим для атаки по схеме brute force (перебора паролей при помощи вычислительных мощностей), следует из отчета разработчика криптографического программного обеспечения и сервисов Virgil Security, Inc.
Напомним, в конце июля Telegram представил свой новый продукт, Telegram Passport, который позволяет хранить все свои идентификационные данные в зашифрованном виде и безопасно передавать третьим лицам и сторонним организациям в пару кликов. Это удобно, например, для регистрации в ICO или в криптокошельке, которые обязывают соблюдать правила KYC.
Данные пользователей хранятся в облаке Telegram с использованием сквозного шифрования, а затем их переведут в децентрализованное облако, которое не сможет дешифровать персональные данные, поскольку это будет выглядеть как рандомный набор символов. Однако в своих недавних исследованиях Virgil Security выразила озабоченность по поводу защиты паролем в сервисе.
Согласно отчету компании, Telegram использует алгоритм хеширования SHA-512, который не предназначен для хеш-паролей. Сообщается, что этот алгоритм оставляет пароли уязвимыми к брутфорс-атаке, даже если они «засолены». В криптографии «солью» называются случайные данные, добавленные в качестве дополнительного секретного значения в конце ввода, что увеличивает длину исходного пароля и обеспечивает некоторую дополнительную защиту.
Когда пользователь шифрует свои персональные данные, они загружаются в облако Telegram, и когда пользователь должен пройти аутентификацию в сторонней службе, они расшифровывают эти данные и повторно шифруют для собственных учетных данных. Все эти факторы могут способствовать потенциальной уязвимости пользовательского пароля к хакерским атакам. Компания поясняет:
«Безопасность данных, которые вы загружаете в облако Telegram, в огромной степени зависит от силы вашего пароля, поскольку успех атаки с помощью перебора очень возможен при выбранном алгоритме хеширования. И отсутствие цифровой подписи позволяет изменять ваши данные без ведома вас или получателя».
Таким образом, разработчикам Telegram стоит обратить повышенное внимание на безопасность своего сервиса прежде, чем пускать его в широкое использование – возможно, даже внести изменения на уровне базового кода. Защита персональных данных – один из самых щепетильных вопросов в современном цифровом мире, и здесь предосторожность лишней не бывает.