Разработчики украинской компании Virgil Security, создающей решения для шифрования и верификации данных, обнаружили в новом KYC-сервисе Passport уязвимость, благодаря которой злоумышленники могут похитить данные пользователей.

Telegram запустила Passport 26 июля 2018 года.

Это идентификационный сервис, куда, как следует из названия можно загрузить всю информацию, начиная с адреса электронной почты, заканчивая паспортными данными. Разработчики уверяют, что первоначально к информации применяется метод сквозного шифрования, после чего, уже в зашифрованном виде, она попадает на облачный сервер Telegram, где и хранится в безопасности, поскольку для хакера она является "случайным шумом".

Специалисты Virgil Security сообщили, что Telegram использует алгоритм хэширования SHA-512, не предназначенный для хэширования паролей. Этот алгоритм оставляет уязвимыми даже "соленые" пароли. Соленое хеширование является самым лучшим способом защиты паролей является пароля: соление делает невозможным использование радужных таблиц и таблиц поиска для взлома хеш-кодов.

Если совсем просто, то криптографическая соль — это набор случайных данных, добавленных в качестве дополнительной строки, передающейся хеш-функции вместе с паролем.

Такой метод обеспечивает дополнительную защиту, но если вы используете SHA-512, все старания пойдут прахом. Почему? Потому что на дворе 2018 год, и один графический процессор может проверять до 1,5 миллиардов SHA-512-хэшей в секунду.

Раз-два — и от вашего пароля ничего не осталось. А вот и ваши паспортные данные.

источник





© 2017-2019 BIZLIM | Новости крипто рынка, финансы, блокчейн, ICO, биржи, стартапы, регулирование
контакты / размещение рекламы | news aggregator [EN] | агрегатор новостей [RU] | курсы криптовалют (2000+ coin) | помочь проекту (donate)