Блокчейн, финтех, новая экономика, блэкджек

PASSPORT

В Telegram Passport обнаружена уязвимость

Новости

Разработчики украинской компании Virgil Security, создающей решения для шифрования и верификации данных, обнаружили в новом KYC-сервисе Passport уязвимость, благодаря которой злоумышленники могут похитить данные пользователей.

Telegram запустила Passport 26 июля 2018 года. Это идентификационный сервис, куда, как следует из названия можно загрузить всю информацию, начиная с адреса электронной почты, заканчивая паспортными данными. Разработчики уверяют, что первоначально к информации применяется метод сквозного шифрования, после чего, уже в зашифрованном виде, она попадает на облачный сервер Telegram, где и хранится в безопасности, поскольку для хакера она является «случайным шумом».

Специалисты Virgil Security сообщили, что Telegram использует алгоритм хэширования SHA-512, не предназначенный для хэширования паролей. Этот алгоритм оставляет уязвимыми даже «соленые» пароли. Соленое хеширование является самым лучшим способом защиты паролей является пароля: соление делает невозможным использование радужных таблиц и таблиц поиска для взлома хеш-кодов.

Если совсем просто, то криптографическая соль — это набор случайных данных, добавленных в качестве дополнительной строки, передающейся хеш-функции вместе с паролем. Такой метод обеспечивает дополнительную защиту, но если вы используете SHA-512, все старания пойдут прахом. Почему? Потому что на дворе 2018 год, и один графический процессор может проверять до 1,5 миллиардов SHA-512-хэшей в секунду. Раз-два — и от вашего пароля ничего не осталось. А вот и ваши паспортные данные.

* * *

Читайте наш канал и общайтесь с нами и другими читателями в чате Telegram.

Понравилась статья?

Подпишись на e-mail рассылку и будь всегда в курсе последних событий
BTC
4017.6-0.62%
ETH
137.23-0.99%
XRP
0.31-0.93%
BCH
165.1-2.16%
Ту зе МУН