Investigación: Telegram Passport es vulnerable a los ataques de fuerza bruta

La recientemente lanzada herramienta de autorización de identificación personal Telegram Passport de la aplicación de mensajería Telegram es vulnerable a los ataques de fuerza bruta, según un informe del 1 de agosto del desarrollador de software y servicios criptográficos Virgil Security, Inc.

El 26 de julio, Telegram anunció el lanzamiento de Telegram Passport, diseñado para encriptar la información de identificación personal de los usuarios y permitirles compartir sus datos de identificación con terceros, tales como ofertas iniciales de monedas ICOs, cripto monederos y cualquier persona que cumpla con conozca a su cliente (KYC).

Los datos de los usuarios se guardan en la nube de Telegram mediante encriptación de extremo a extremo, y posteriormente se trasladan a una nube descentralizada, que no puede descifrar los datos personales ya que se considera "ruido aleatorio". Sin embargo, en su investigación reciente Virgil Security planteó preocupaciones sobre la protección de contraseñas en el servicio.

De acuerdo con Virgil Security, Telegram utiliza SHA-512, un algoritmo de hash que no tiene como objetivo el hash de contraseñas. Se dice que este algoritmo deja las contraseñas vulnerables a ataques de fuerza bruta, incluso si es salado. En criptografía, una sal es un dato aleatorio que se añade como un valor secreto adicional al final de la entrada, lo que amplía la longitud de la contraseña original, proporcionando una protección adicional.

Cuando un usuario encripta datos personales, supuestamente se cargan en la nube de Telegram, y cuando un usuario necesita confirmar la autenticidad en un servicio de terceros, descifran esos datos y los vuelven a encriptar para las credenciales de ese servicio. Todos estos factores contribuyen, según se informa, a la exposición potencial de la tabla de hash de contraseñas de un usuario a ataques de hackers muy eficientes. El bufete lo explica con más detalle:

"La seguridad de los datos que usted sube a la Nube de Telegram depende en gran medida de la fortaleza de su contraseña, ya que los ataques por fuerza bruta son fáciles con el algoritmo de hash elegido. Y la ausencia de firma digital permite que sus datos sean modificados sin que usted o el destinatario puedan saberlo".

En marzo, los fundadores de Telegram, Pavel y Nikolai Durov informaron de que habían recaudado 850 millones de dólares en la segunda ronda de su OIC destinada al desarrollo de la aplicación de mensajería Telegram y su propia plataforma de cadena de bloques Telegraph Open Network (TON). Más tarde, en mayo, el plan de Telegram de poner en marcha una ICO fue cancelada debido a que la aplicación de mensajería había atraído fondos suficientes durante sus dos rondas de ICOs privadas.