Хакеры легко могут украсть паспортные данные из Telegram Passport

|
FavoriteLoading В закладки
Хакеры легко могут украсть паспортные данные из Telegram Passport

На прошлой неделе разработчики Telegram запустили систему авторизации Telegram Passport. За возможность мгновенной аутентификации на сайтах с пользователя один раз запросят скан паспорта.

Одному из пользователей Habr.com удалось выяснить, что на самом деле Telegram Passport не шифрует данные пользователей, и его можно легко взломать.

Дело в том, что на удаленные сервера сервиса отправляется целый список пользовательских данных:

  • хэш
  • случайный ключ, зашифрованный паролем
  • дополнительная защита
  • зашифрованные данные

Пользователь с ником Scratch уверяет, что этих данных достаточно для подбора пароля. В конце концов, на сервис отправляется готовый ключ шифрования, а значит, генерировать его самостоятельно методом подбора или слепого брутфорса не нужно.

Учитывая, что среднестатистический пользователь Telegram не использует пароли длиной более восьми символов, взломать их очень просто.

По примерным подсчетам, на это уйдет около пяти дней. Ровно через такой срок паспортные данные и конфиденциальные документы пользователей могут остаться в руках злоумышленников в случае взлома Telegram Passport. [Habr]

Поставьте оценку:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Нет голосов)
🤓 Хочешь больше? Подпишись на наш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
И это оказалось весьма просто.
Прокомментировать

🙈 Комментарии 17

  1. Karatel Karatel30 июля в 22:35
    0

    Всё можно взломать разница только во времени.
    Но я стараюсь не светить данные документов на право налево. Заблокировать кредитку ладно-быстро, но пасспорт )

    smoke-60 avatar
    smoke-6030 июля в 22:58
    0

    @Karatel Karatel, если прочесть оригинал хабра, то там описано все по шагам и при наличии нескольких мощных gpu не так и долго(речь шла всего о 8ми)

  2. Alexander Kharitonov30 июля в 23:01
    14

    Самим не противно от таких статей? :)

    hginn avatar
    hginn31 июля в 3:10
    4

    @Alexander Kharitonov, не поленился, зарегистрировался, чтобы оставить чертов коммент, так что внимайте, Александр. Риторический вопрос вам: а не противно было тратить время на свой пустословный комментарий? Для меня, например, статья/заметка была полезна (не так часто посещаю хабр и пр.), кроме того на днях задавался вопросом как скоро можно “подарить” свой паспорт, используя упомянутый сервис. Если вы ничего нового не узнали – пройдите мимо. И да, бомбануло.

    red2121 avatar
    red212131 июля в 9:02
    1

    @hginn, шапочку из фольги уже оденьте.

    Igor Katkov avatar
    Igor Katkov1 августа в 23:09
    0

    @red2121, правильно говорить — “наденьте”

    red2121 avatar
    red21212 августа в 11:54
    0

    @Igor Katkov, Вам рекомендации куда пойти еще не давали?

    Александр Лютый31 июля в 10:14
    4

    @hginn, а почему кулхакер не написал, что зашифрованные данные надо взламывать лет этак 100 используя мощность всех современных ПК вместе взятых? Вы почитайте про современное шифрование, а потом постарайтесь понять соотношение между полезностью этой статьи и её кликбэйтностью.

    lohmatij avatar
    lohmatij31 июля в 17:29
    0

    @Александр Лютый, речь о 5 днях на 8 мощных видеокартах. Или 1 дне на 40.

    100 годами и не пахнет, как видите

    noTThey avatar
    noTThey19 августа в 21:47
    0

    @hginn, да ты походу с фабрики троллей пригоженской. Блокнуть телегу у РКН не вышло, так вы теперь “ссыте людям в уши” по этой теме. Сразу куча псевдоним статей повыходила.

  3. PavelDemyanov avatar
    PavelDemyanov31 июля в 1:48
    0

    Взломать не выйдет если пароль будет 20+ символов, если 8 то да на суперкомпьютере (который можно взять в аренду) сломать получится.

    Александр Лютый31 июля в 10:14
    0

    @PavelDemyanov, за какое время?))))

    PavelDemyanov avatar
    PavelDemyanov31 июля в 10:15
    0

    @Александр Лютый, на 10 картах 1080ti за месяц, на 100 картах 1080ti за 5 дней.

  4. serjkras avatar
    serjkras31 июля в 2:45
    4

    Ксерокопии и сканы наших паспортов где только не делают. И заморачиваться со взломами серверов смысла нет. Вон яндекс из гуглдиска все вытаскивает :)

  5. bigzleo avatar
    bigzleo31 июля в 8:43
    7

    Очередная заказушная статья с целью наговорить всяких гадостей о телеграмме. Какой-то там мутный пользователь, что-то там нашел.

    Как оказалось, автор этого поста на хабре работает в конторе, которая тоже занимается крипто вопросами. И естественно, он будет ругать других, чтобы хвалить и рекламировать свое. Что он и делал в первой версии своей статьи, пока ему рекламу не отрубили.

    А если посмотреть обсуждение того поста на хабре, то там видно, что у телеграмма как раз-таки нормальная система.

  6. ZloySega avatar
    ZloySega31 июля в 11:54
    0

    просто очередная реклама телеграмма
    вангую появление статьи/новости что на самом деле всё не так просто и паша молодец.

  7. ram_ler avatar
    ram_ler31 июля в 17:00
    0

    Да Быть такого не может. Вы, только, Артёму Баусову не говорите, он до сих пор на баррикадах с бумажными самолетиками борется за гарантии конфиденциальности )))

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь