Обнаружен способ похитить данные пользователей из недавно запущенного сервиса для хранения документов и мгновенной аутентификации Telegram Passport

Как выяснилось, сервис отправляет в облако зашифрованные пользовательские данные, криптографические ключи, а также хэш от персональных данных, смешанных со случайными байтами. Этой информации достаточно, чтобы взломать сервис и похитить данные пользователей с помощью брутфорс-атаки.

«Это далеко не «случайный шум», тут есть все необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретенные авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участие самих данных в формировании ключа их же шифрования и хэш от данных вместо HMAС», - отметил эксперт.

Одним из возможных способов защиты от злоумышленников является использование сложных паролей длиннее 8 символов, однако число пользователей, использующих подобную защиту, сравнительно невелико.

Ранее администрация мессенджера Telegram объявила о запуске нового облачного сервиса Telegram Passport, позволяющего пользователям загружать документы и проходить верификацию на ресурсах, требующих идентификации клиентов. Новая функция от Telegram позволяет один раз загрузить свои персональные данные, такие как фотографии, отсканированные документы и сведения о банковских счетах, а затем использовать их на интернет-ресурсах, требующих подтверждения личности.