Telegram Passport sufre una vulnerabilidad que deja las cuentas desprotegidas

La nueva función de Telegram, sufre una vulnerabilidad que deja las cuentas y los documentos oficiales desprotegidos. Los datos expuestos son pasaportes, carnets de conducir, datos bancarios y, sobre todo, contraseñas, debido a que el protocolo de encriptación de archivos SHA-512 que utiliza Telefram, es inadecuado para cifrar contraseñas.

Telegram, la app de mensajería, sufre una vulnerabilidad en su función Telegram Passport, la cual ha sido recientemente añadida. Esta función emplea un protocolo para almacenar contraseñas y, en el caso de que se sufra un ciberataque de importancia, deja las cuentas desprotegidas además de los documentos oficiales almacenados.

El sistema de protección de protección de contraseñas SHA-512 que usa Telegram Passport emplea un algoritmo que ‘’no está destinado para el almacenamiento de estas claves y resulta vulnerable’’, según alerta Virgil Segurity.

Telegram Passport es un método de autenticación para los servicios ‘online’ al que los usuarios pueden subir sus documentos oficiales, como pasaportes, carnet de conducir y datos bancarios.

La desarrolladora de Telegram aseguró que la nueva función instalada protegía la seguridad de los archivos y las claves a través de mecanismos de encriptación. En cambio, Virgil Security asegura que emplea un protocolo de encriptación de archivos SHA-512 inadecuado para cifrar contraseñas, que quedan desprotegidas ante ciberataques de fuerza bruta.

Utiliza una contraseña como único mecanismo de protección para identificarse en servicios externos. Los ciberatacantes pueden utilizar tarjetas gráficas de alto rendimiento como las utilizadas para el minado de criptomonedas y así generar combinaciones de carácter al azar de manera automática.

Mediante este mecanismo es posible averiguar cualquier contraseña de ocho caracteres en tan solo cuatro días. Según predicciones de Virgil un ataque de gran fuerza podría adivinar cualquier contraseña de Telegram Passport con un coste de electricidad de entre 4 y 136 euros.

Mecanismos muy similares se han utilizado para para otras filtraciones masivas de contraseña como fue, por ejemplo, el caso de Linkedin en 2012 o LivingSocial en 2013. Ambos casos utilizaban el mismo protocolo de encriptación. La compañía de ciberseguridad ha llamado la atención sobre el uso de la encriptación y pondrán soluciones.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio