La recientemente lanzada herramienta de autorización de identificación personal Telegram Passport , de la aplicación de mensajería Telegram, es vulnerable a los ataques de fuerza bruta, según un informe del 1 de agosto del desarrollador de servicios y software criptográfico Virgil Security, Inc.
El 26 de julio, Telegram anunció el lanzamiento de Telegram Passport diseñado para encriptar la información de identificación personal de los usuarios y permitirles compartir sus datos de identificación con terceros tales como ofertas iniciales de monedas ICO, billeteras criptográficas y cualquier persona que cumpla con las reglamentaciones de conocer a sus clientes (KYC).
Los datos de los usuarios se mantienen en la nube de Telegram utilizando encriptación de extremo a extremo, luego se mueven a una nube descentralizada, que no puede descifrar datos personales ya que se considera como “ruido aleatorio”. Sin embargo, en su investigación reciente, Virgil Security protección con contraseña en el servicio.
Según Virgil Security, Telegram usa SHA-512, un algoritmo con función de hash, que originalmente no está destinada a descifrar contraseñas. Según los informes, este algoritmo deja las contraseñas vulnerables a los ataques de fuerza bruta, incluso si está salado (salted en inglés). En la criptografía, una sal es un dato aleatorio agregado como un valor secreto extra al final de la entrada, que extiende la longitud de la contraseña original, brindando cierta protección adicional que la vuelve más difícil de descifrar.
Cuando un usuario encripta datos personales, se carga, según los informes, a la nube de Telegram, y cuando un usuario necesita confirmar la autenticidad en un servicio de terceros, se descifran esos datos y los vuelven a cifrar para las credenciales de ese servicio.
Todos estos factores, según los informes, contribuyen a la posible exposición de la tabla hash de contraseñas de un usuario a ataques de hackers muy eficientes. La firma además explica:
“La seguridad de los datos que carga en la nube de Telegram depende en gran medida de la solidez de su contraseña, ya que los ataques de fuerza bruta son fáciles con el algoritmo de hash elegido. Y la ausencia de firma digital le permite modificar sus datos sin que usted o el destinatario puedan decirlo”.
En marzo, los fundadores de Telegram, Pavel y Nikolai Durov informaron que habían recaudado 850 millones de dólares en la segunda ronda de su ICO con el objetivo de desarrollar la aplicación de mensajería Telegram y su propia plataforma de cadena de bloque Telegraph Open Network (TON).
Más tarde en mayo, el plan de Telegram de lanzar una ICO fue cancelado debido a que la aplicación de mensajería había atraído fondos suficientes durante sus dos rondas privadas de ICO.
