На прошлой неделе мессенджер Telegram представил сервис Passport для хранения личных данных пользователей. В их число в том числе вошли паспорта и другие документы, которые могут потребовать банки и другие учреждения. В компании пообещали, что информация будет надёжно защищена шифрованием.
Уже через несколько дней исследователи из компании Virgil Security выяснили, что сервис уязвим для так называемых атак полного перебора (brute force). Об этом пишет Cointalegraph.
Насколько безопасен Passport от Telegram
По данный Virgil Security, уязвимость кроется в технологии хранения паролей. Telegram использует алгоритм хэширования SHA-512, который не предназначен для хэш-паролей. Такая ошибка делает пароли недостаточно защищёнными, даже если они «солёные» — то есть обладают секретной числовой последовательностью в конце набора цифр и букв.
Безопасность данных, которые вы загружаете в облако Telegram, в огромной степени зависит от степени защищённости вашего пароля, поскольку атаки полного перебора очень просто осуществить при этом алгоритме хэширования. И отсутствие цифровой подписи позволяет изменять ваши данные без вашего участия.
Это значит, что новый сервис от Павла Дурова недостаточно безопасен — пользователям стоит подумать, прежде чем загружать в него свои личные данные. По крайней мере, до того момента, как Telegram не предоставит официальных комментариев или не исправит проблему.
