На прошлой неделе разработчики Telegram запустили систему авторизации Telegram Passport. За возможность мгновенной аутентификации на сайтах с пользователя один раз запросят скан паспорта.
Одному из пользователей Habr.com удалось выяснить, что на самом деле Telegram Passport не шифрует данные пользователей, и его можно легко взломать.
Дело в том, что на удаленные сервера сервиса отправляется целый список пользовательских данных:
- хэш
- случайный ключ, зашифрованный паролем
- дополнительная защита
- зашифрованные данные
Пользователь с ником Scratch уверяет, что этих данных достаточно для подбора пароля. В конце концов, на сервис отправляется готовый ключ шифрования, а значит, генерировать его самостоятельно методом подбора или слепого брутфорса не нужно.
Учитывая, что среднестатистический пользователь Telegram не использует пароли длиной более восьми символов, взломать их очень просто.
По примерным подсчетам, на это уйдет около пяти дней. Ровно через такой срок паспортные данные и конфиденциальные документы пользователей могут остаться в руках злоумышленников в случае взлома Telegram Passport. [Habr]
17 комментариев