Пользователь портала Habr под псевдонимом Scratch обнаружил способ похитить данные пользователей из недавно запущенного сервиса для хранения документов и мгновенной аутентификации Telegram Passport.
Как выяснил Scratch, сервис отправляет в облако зашифрованные пользовательские данные, криптографические ключи, а также хэш от персональных данных, смешанных со случайными байтами. По его словам, этой информации достаточно, чтобы взломать сервис и похитить данные пользователей с помощью брутфорс-атаки.
"Это далеко не "случайный шум", тут есть все необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретенные авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участие самих данных в формировании ключа их же шифрования и хэш от данных вместо HMAС", - отметил эксперт.
Одним из возможных способов защиты от злоумышленников Scratch назвал использование сложных паролей длиннее 8 символов, однако число пользователей, использующих подобную защиту, сравнительно невелико.