加密软件及服务开发商Virgil Security, Inc.在8月1日的一篇报告中指出,聊天软件Telegram近期发布的个人识别授权工具易受到暴力攻击(brute force attacks)。

7月26日,Telegram宣布推出Telegram Passport,旨在加密用户的个人身份信息,并让他们与诸如ICO、加密货币钱包以及与遵循了解你的客户 (KYC)规定相关的人士分享个人ID。

用户的数据通过端到端加密被保存在Telegram云上,随后转移到去中心化的云上,在这里个人数据因被视“随机噪声”而无法被解密。不过,在Virgil Security最近的研究中,该服务中的密码保护引发了担忧。

据Virgil Security表示,Telegram使用SHA-512,这是一种哈希算法,不能用于哈希密码。这种算法使密码易受暴力攻击,即便它是加过salt的。在密码学中,salt是给密码添加的一个随机值后缀,这扩展了原始密码的长度,提供了一些额外的保护。

报告称,当用户加密个人数据时,会将其上传到Telegram云,且当用户需要通过第三方服务确认真实性时,他们会解密该数据并为该第三方服务的凭证重新加密。所有这些因素都可能导致用户密码哈希表暴露于非常有效的黑客攻击下。该公司进一步解释说:

“你所上传到Telegram云的数据的安全性,不得不取决于你密码的强度,因为在该哈希算法下密码是极易受到暴力攻击的。在缺乏数字签名的情况下,你或’接受者不知情时数据就允许被修改。 "

今年3月,Telegram的创始人Pavel和Nikolai Durov报告称,他们已经在第二轮ICO中筹集了8.5亿美元,用于开发Telegram聊天应用程序和自己的区块链平台Telegraph Open Network(TON)。 5月,Telegram的ICO计划被取消,原因是该聊天应用程序在前两轮ICO私募中已吸收了足够的资金。