Telegram Passport potrebbe essere vulnerabile ad attacchi brute force, svela uno studio

Telegram Passport, strumento per la verifica delle informazioni personali recentemente rilasciato dall'applicazione di messaggistica Telegram, potrebbe essere vulnerabile ad attacchi brute force: la notizia è stata riportata dalla società di sicurezza Virgil Security.

In data 26 luglio, Telegram ha annunciato il lancio di Telegram Passport, un servizio che permette agli utenti di criptare i propri dati personali e di condividerli in maniera sicura con istituzioni di terze parti, come ICO, portafogli per criptovalute e più in generale aziende che rispettano le regolamentazioni KYC.

I dati degli utenti vengono archiviati su una rete decentralizzata, e protetti grazie ad un sistema di criptazione end-to-end. Tuttavia, spiega Virgil Security, Telegram utilizza l'algoritmo SHA-512, il quale non è stato progettato per generare hash di password. In particolare, quando un utente desidera confermare la propria identità, i dati vengono prima decriptati e poi nuovamente criptati in base alle credenziali del servizio che si desidera utilizzare. Pare tuttavia che tale processo renda le password potenzialmente vulnerabili ad attacchi hacker:

"La sicurezza dei dati caricati sul cloud di Telegram fa ampiamente affidamento sulla robustezza della password stessa, in quanto attacchi brute force risultano particolarmente efficaci a causa dell'algoritmo di hashing utilizzato. L'assenza di una firma digitale permette inoltre di modificare liberamente le informazioni senza alcuna conferma da parte dell'utente."

A marzo di quest'anno, Pavel e Nikolai Durov, i due fondatori di Telegram, hanno raccolto ben 850 milioni di dollari grazie alla seconda fase della propria Initial Coin Offering. Tale ICO mira a supportare lo sviluppo dell'applicazione di messaggistica e della sua piattaforma blockchain Telegram Open Network.

Pare inoltre che a maggio la compagnia abbia cancellato la fase pubblica della propria campagna di raccolta fondi, dato l'enorme successo riscontrato dalle due ICO private.