Найден способ похитить данные пользователей из сервиса Telegram Passport

Пользователь портала Habr под псевдонимом Scratch обнаружил способ похитить данные пользователей из недавно запущенного сервиса для хранения документов и мгновенной аутентификации Telegram Passport.

Как выяснил Scratch, сервис отправляет в облако зашифрованные пользовательские данные, криптографические ключи, а также хэш от персональных данных, смешанных со случайными байтами. По его словам, этой информации достаточно, чтобы взломать сервис и похитить данные пользователей с помощью брутфорс-атаки.

«Это далеко не «случайный шум», тут есть все необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретенные авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участие самих данных в формировании ключа их же шифрования и хэш от данных вместо HMAС», - отметил эксперт.

Одним из возможных способов защиты от злоумышленников Scratch назвал использование сложных паролей длиннее 8 символов, однако число пользователей, использующих подобную защиту, сравнительно невелико.

Напомним, ранее администрация мессенджера Telegram объявила о запуске нового облачного сервиса Telegram Passport, позволяющего пользователям загружать документы и проходить верификацию на ресурсах, требующих идентификации клиентов. Новая функция от Telegram позволяет один раз загрузить свои персональные данные, такие как фотографии, отсканированные документы и сведения о банковских счетах, а затем использовать их на интернет-ресурсах, требующих подтверждения личности.

Источник