Pesquisa: Telegram Passport é vulnerável a ataques de força bruta

A ferramenta de autorização de identificação pessoal Telegram Passport, recentemente lançada do aplicativo de mensagens Telegram, é vulnerável a ataques de força bruta, segundo um relatório de 1º de agosto do desenvolvedor de software e serviços de criptografia Virgil Security, Inc.

Em 26 de julho, a Telegram anunciou o lançamento do Telegram Passport projetado para criptografar as informações de identificação pessoal dos usuários e permitir que eles compartilhassem seus dados de identificação com terceiros, como ofertas iniciais de moedas (ICOs), carteiras cripto e qualquer um que cumpra com os regulamentos de conheça seu cliente (KYC). .

Os dados dos usuários são mantidos na nuvem Telegram usando criptografia de ponta a ponta, subsequentemente movidos para uma nuvem descentralizada, que não pode descriptografar dados pessoais, pois são vistos como “ruído aleatório”. No entanto, em sua pesquisa recente, a Virgil Security levantou preocupações sobre proteção por senha no serviço.

De acordo com a Virgil Security, o Telegram usa o SHA-512, um algoritmo de hash que não é usado para hash de senhas. Esse algoritmo deixa as senhas vulneráveis a ataques de força bruta, mesmo que tenham passado por salt. Na criptografia, um salt é um dado aleatório adicionado como um valor extra secreto para o final da entrada, que aumenta o comprimento da senha original, fornecendo alguma proteção adicional.

Quando um usuário criptografa dados pessoais, é supostamente enviado para a nuvem Telegram e, quando um usuário precisa confirmar a autenticidade em um serviço de terceiros, ele descriptografa esses dados e os criptografa novamente para as credenciais desse serviço. Todos esses fatores contribuem para a possível exposição da tabela de hash de senha de um usuário a ataques de hackers muito eficientes. A empresa explica ainda:

“A segurança dos dados que você envia para o Telegram Cloud depende da força da sua senha, já que os ataques de força bruta são fáceis com o algoritmo de hash escolhido. E a ausência de assinatura digital permite que seus dados sejam modificados sem que você ou o destinatário sejam capaz de dizer nada".

Em março, os fundadores da Telegram, Pavel e Nikolai Durov informaram que haviam arrecadado US $ 850 milhões na segunda rodada de sua ICO, destinada ao desenvolvimento do aplicativo de mensagens Telegram e sua própria plataforma blockchain Telegraph Open Network (TON). Mais tarde, em maio, o plano da Telegram de lançar uma ICO foi cancelado devido ao fato de o aplicativo de mensagens ter atraído fundos suficientes durante as duas rodadas privadas de ICO.