Telegram Passport, strumento per la verifica delle informazioni personali recentemente rilasciato dall'applicazione di messaggistica Telegram, potrebbe essere vulnerabile ad attacchi brute force: la notizia è stata riportata dalla società di sicurezza Virgil Security.
In data 26 luglio, Telegram ha annunciato il lancio di Telegram Passport, un servizio che permette agli utenti di criptare i propri dati personali e di condividerli in maniera sicura con istituzioni di terze parti, come ICO, portafogli per criptovalute e più in generale aziende che rispettano le regolamentazioni KYC.
I dati degli utenti vengono archiviati su una rete decentralizzata, e protetti grazie ad un sistema di criptazione end-to-end. Tuttavia, spiega Virgil Security, Telegram utilizza l'algoritmo SHA-512, il quale non è stato progettato per generare hash di password. In particolare, quando un utente desidera confermare la propria identità, i dati vengono prima decriptati e poi nuovamente criptati in base alle credenziali del servizio che si desidera utilizzare. Pare tuttavia che tale processo renda le password potenzialmente vulnerabili ad attacchi hacker:
"La sicurezza dei dati caricati sul cloud di Telegram fa ampiamente affidamento sulla robustezza della password stessa, in quanto attacchi brute force risultano particolarmente efficaci a causa dell'algoritmo di hashing utilizzato. L'assenza di una firma digitale permette inoltre di modificare liberamente le informazioni senza alcuna conferma da parte dell'utente."
A marzo di quest'anno, Pavel e Nikolai Durov, i due fondatori di Telegram, hanno raccolto ben 850 milioni di dollari grazie alla seconda fase della propria Initial Coin Offering. Tale ICO mira a supportare lo sviluppo dell'applicazione di messaggistica e della sua piattaforma blockchain Telegram Open Network.
Pare inoltre che a maggio la compagnia abbia cancellato la fase pubblica della propria campagna di raccolta fondi, dato l'enorme successo riscontrato dalle due ICO private.