Согласно данным исследования компании Virgil Security, новый сервис для хранения данных от Telegram – Telegram Passport – недостаточно защищен. По словам представителя компании Ялексея Ермишкина, сервис уязвим для атак, «когда хакеры пытаются подобрать пароли к аккаунту с помощью словаря предполагаемых кодовых фраз».
Разработчики сервиса, по мнению Ермишкина, допустили ошибку, выбрав в качестве алгоритма для хэширования паролей SHA-512, не предназначенный для этого. Специалист отметил, что 1,5 млрд хэшей SHA-512 могут быть проверены за секунду. Это значит, что при помощи нескольких ферм для майнинга криптовалют можно подобрать 8-символьный пароль из 94-символьного алфавита за 4,7 дня. Учитывая то, как небрежно многие пользователи относятся к выбору пароля, взлом одного аккаунта может обойтись менее, чем в $5.
Напомним, Telegram запустил сервис для хранения персональных данных в конце июля.
Источник: virgilsecurity.com