Виявлено спосіб викрасти дані користувачів із нещодавно запущеного сервісу для зберігання документів та миттєвої автентифікації Telegram Passport

Як з'ясувалося, сервіс відправляє в хмару зашифровані дані користувача, криптографічні ключі, а також хеш від персональних даних, змішаних з випадковими байтами. Цієї інформації достатньо, щоб зламати сервіс та викрасти дані користувачів за допомогою брутфорс-атаки.

«Це далеко не «випадковий шум», тут є все необхідне, включаючи ключ шифрування, захищений паролем. І це дозволяє дістатися даних користувачів набагато, набагато швидше ніж перебирати всі можливі комбінації ключів AES (2^256). Також великому сумніву піддаються такі винайдені авторами Telegram механізми, як перевірка ключа на валідність за допомогою суми байт, участь самих даних у формуванні ключа їхнього ж шифрування та хеш від даних замість HMAС», - зазначив експерт.

Одним із можливих способів захисту від зловмисників є використання складних паролів довше 8 символів, проте кількість користувачів, які використовують подібний захист, порівняно невелика.

Раніше адміністрація месенджера Telegram оголосила про запуск нового хмарного сервісу Telegram Passport, що дозволяє користувачам завантажувати документи та проходити верифікацію на ресурсах, які потребують ідентифікації клієнтів. Нова функція від Telegram дозволяє один раз завантажити свої персональні дані, такі як фотографії, відскановані документи та відомості про банківські рахунки, а потім використовувати їх на інтернет-ресурсах, які потребують підтвердження особистості.