События

Найден способ похитить данные пользователей из сервиса Telegram Passport

Пользователь портала Habr под псевдонимом Scratch обнаружил способ похитить данные пользователей из недавно запущенного сервиса для хранения документов и мгновенной аутентификации Telegram Passport.

Как выяснил Scratch, сервис отправляет в облако зашифрованные пользовательские данные, криптографические ключи, а также хэш от персональных данных, смешанных со случайными байтами. По его словам, этой информации достаточно, чтобы взломать сервис и похитить данные пользователей с помощью брутфорс-атаки.

«Это далеко не «случайный шум», тут есть все необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретенные авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участие самих данных в формировании ключа их же шифрования и хэш от данных вместо HMAС», - отметил эксперт.

Одним из возможных способов защиты от злоумышленников Scratch назвал использование сложных паролей длиннее 8 символов, однако число пользователей, использующих подобную защиту, сравнительно невелико.

Напомним, ранее администрация мессенджера Telegram объявила о запуске нового облачного сервиса Telegram Passport, позволяющего пользователям загружать документы и проходить верификацию на ресурсах, требующих идентификации клиентов. Новая функция от Telegram позволяет один раз загрузить свои персональные данные, такие как фотографии, отсканированные документы и сведения о банковских счетах, а затем использовать их на интернет-ресурсах, требующих подтверждения личности.

Источник

Автор: Сергей Куприянов
31.07.2018 (12:19)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.