Хакеры легко могут украсть паспортные данные из Telegram Passport

Владимир Кузин avatar | 17
FavoriteLoading В закладки
Хакеры легко могут украсть паспортные данные из Telegram Passport

На прошлой неделе разработчики Telegram запустили систему авторизации Telegram Passport. За возможность мгновенной аутентификации на сайтах с пользователя один раз запросят скан паспорта.

Одному из пользователей Habr.com удалось выяснить, что на самом деле Telegram Passport не шифрует данные пользователей, и его можно легко взломать.

Дело в том, что на удаленные сервера сервиса отправляется целый список пользовательских данных:

  • хэш
  • случайный ключ, зашифрованный паролем
  • дополнительная защита
  • зашифрованные данные

Пользователь с ником Scratch уверяет, что этих данных достаточно для подбора пароля. В конце концов, на сервис отправляется готовый ключ шифрования, а значит, генерировать его самостоятельно методом подбора или слепого брутфорса не нужно.

Учитывая, что среднестатистический пользователь Telegram не использует пароли длиной более восьми символов, взломать их очень просто.

По примерным подсчетам, на это уйдет около пяти дней. Ровно через такой срок паспортные данные и конфиденциальные документы пользователей могут остаться в руках злоумышленников в случае взлома Telegram Passport. [Habr]

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Проголосуйте первым за статью!)
undefined
iPhones.ru
И это оказалось весьма просто.
Прокомментировать

🙈 Комментарии 17

  1. Karatel Karatel avatar
    Karatel Karatel30 июля 2018
    0

    Всё можно взломать разница только во времени.
    Но я стараюсь не светить данные документов на право налево. Заблокировать кредитку ладно-быстро, но пасспорт )

    smoke-60 avatar
    smoke-6030 июля 2018
    0

    @Karatel Karatel, если прочесть оригинал хабра, то там описано все по шагам и при наличии нескольких мощных gpu не так и долго(речь шла всего о 8ми)

  2. Alexander Kharitonov avatar
    Alexander Kharitonov30 июля 2018
    14

    Самим не противно от таких статей? :)

    hginn avatar
    hginn31 июля 2018
    4

    @Alexander Kharitonov, не поленился, зарегистрировался, чтобы оставить чертов коммент, так что внимайте, Александр. Риторический вопрос вам: а не противно было тратить время на свой пустословный комментарий? Для меня, например, статья/заметка была полезна (не так часто посещаю хабр и пр.), кроме того на днях задавался вопросом как скоро можно “подарить” свой паспорт, используя упомянутый сервис. Если вы ничего нового не узнали – пройдите мимо. И да, бомбануло.

    red2121 avatar
    red212131 июля 2018
    1

    @hginn, шапочку из фольги уже оденьте.

    Igor Katkov avatar
    Igor Katkov1 августа 2018
    0

    @red2121, правильно говорить — “наденьте”

    red2121 avatar
    red21212 августа 2018
    0

    @Igor Katkov, Вам рекомендации куда пойти еще не давали?

    Александр Лютый avatar
    4

    @hginn, а почему кулхакер не написал, что зашифрованные данные надо взламывать лет этак 100 используя мощность всех современных ПК вместе взятых? Вы почитайте про современное шифрование, а потом постарайтесь понять соотношение между полезностью этой статьи и её кликбэйтностью.

    lohmatij avatar
    lohmatij31 июля 2018
    0

    @Александр Лютый, речь о 5 днях на 8 мощных видеокартах. Или 1 дне на 40.

    100 годами и не пахнет, как видите

    noTThey avatar
    noTThey19 августа 2018
    0

    @hginn, да ты походу с фабрики троллей пригоженской. Блокнуть телегу у РКН не вышло, так вы теперь “ссыте людям в уши” по этой теме. Сразу куча псевдоним статей повыходила.

  3. PavelDemyanov avatar
    PavelDemyanov31 июля 2018
    0

    Взломать не выйдет если пароль будет 20+ символов, если 8 то да на суперкомпьютере (который можно взять в аренду) сломать получится.

    Александр Лютый avatar
    0

    @PavelDemyanov, за какое время?))))

    PavelDemyanov avatar
    PavelDemyanov31 июля 2018
    0

    @Александр Лютый, на 10 картах 1080ti за месяц, на 100 картах 1080ti за 5 дней.

  4. serjkras avatar
    serjkras31 июля 2018
    4

    Ксерокопии и сканы наших паспортов где только не делают. И заморачиваться со взломами серверов смысла нет. Вон яндекс из гуглдиска все вытаскивает :)

  5. bigzleo avatar
    bigzleo31 июля 2018
    7

    Очередная заказушная статья с целью наговорить всяких гадостей о телеграмме. Какой-то там мутный пользователь, что-то там нашел.

    Как оказалось, автор этого поста на хабре работает в конторе, которая тоже занимается крипто вопросами. И естественно, он будет ругать других, чтобы хвалить и рекламировать свое. Что он и делал в первой версии своей статьи, пока ему рекламу не отрубили.

    А если посмотреть обсуждение того поста на хабре, то там видно, что у телеграмма как раз-таки нормальная система.

  6. ZloySega avatar
    ZloySega31 июля 2018
    0

    просто очередная реклама телеграмма
    вангую появление статьи/новости что на самом деле всё не так просто и паша молодец.

  7. ram_ler avatar
    ram_ler31 июля 2018
    0

    Да Быть такого не может. Вы, только, Артёму Баусову не говорите, он до сих пор на баррикадах с бумажными самолетиками борется за гарантии конфиденциальности )))

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь