В сервисе хранения паролей и документов Telegram Password обнаружена серьёзная уязвимость, благодаря которой злоумышленники могут легко похитить личные данные пользователей.
Согласно исследованию Virgil Security, сервис отправляет в облако данные, зашифрованные протоколом SHA-512, который не предназначен для паролей. Современный графический процессор способен проверить примерно 1.5 миллиарда хешей в секунду. Это значит, что десять таких процессоров смогут подобрать пароль из восьми символов из алфавита в 94 символа всего за 5 дней. Это примерно 135 долларов за сложный пароль, или 5 долларов за простой, учитывая затраты на электроенергию.
Было взломано уже большое количество акаунтов, и существуют Telegram – каналы, продающие персональные данные пользователей. Шутка про кредит на чужой паспорт уже не кажется такой смешной, ведь провернуть такую схему не сложно. Для этого преступникам не обязательно даже иметь своего человека в банке, ведь есть организации, выдающие деньги лишь по скану паспорта, и селфи с паспортом в открытом виде, а таким фотографиям тоже можно без труда получить доступ, используя уязвимость Telegram Password.
Специалисты советуют при подозрении о том, что личные данные используют, нужно написать заявление в полицию, чтоб заменили паспорт, и злоумышленники не смогли завести кредитов.