Разработчики украинской компании Virgil Security, создающей решения для шифрования и верификации данных, обнаружили в новом KYC-сервисе Passport уязвимость, благодаря которой злоумышленники могут похитить данные пользователей.
Telegram запустила Passport 26 июля 2018 года. Это идентификационный сервис, куда, как следует из названия можно загрузить всю информацию, начиная с адреса электронной почты, заканчивая паспортными данными. Разработчики уверяют, что первоначально к информации применяется метод сквозного шифрования, после чего, уже в зашифрованном виде, она попадает на облачный сервер Telegram, где и хранится в безопасности, поскольку для хакера она является «случайным шумом».
Специалисты Virgil Security сообщили, что Telegram использует алгоритм хэширования SHA-512, не предназначенный для хэширования паролей. Этот алгоритм оставляет уязвимыми даже «соленые» пароли. Соленое хеширование является самым лучшим способом защиты паролей является пароля: соление делает невозможным использование радужных таблиц и таблиц поиска для взлома хеш-кодов.
Если совсем просто, то криптографическая соль — это набор случайных данных, добавленных в качестве дополнительной строки, передающейся хеш-функции вместе с паролем. Такой метод обеспечивает дополнительную защиту, но если вы используете SHA-512, все старания пойдут прахом. Почему? Потому что на дворе 2018 год, и один графический процессор может проверять до 1,5 миллиардов SHA-512-хэшей в секунду. Раз-два — и от вашего пароля ничего не осталось. А вот и ваши паспортные данные.
* * *
Источник
