phammaiisabel
New member
** Các vấn đề bảo mật hộ chiếu Telegram tiếp xúc với các chuyên gia bảo mật **
Telegram Passport là một tính năng mới cho phép người dùng tải lên các tài liệu nhận dạng cá nhân như hộ chiếu, thẻ nhận dạng và giấy phép lái xe lên đám mây Telegram.Các tài liệu này được mã hóa để người dùng có thể xác minh danh tính của họ trên các dịch vụ của bên thứ ba mà không hiển thị dữ liệu cá nhân của họ.
Tuy nhiên, một chuyên gia bảo mật đã tìm thấy một số vấn đề bảo mật với Hộ chiếu Telegram.
** Đầu tiên, Telegram sử dụng thuật toán băm an toàn 2 (SHA-512), đây là thuật toán băm mật khẩu yếu..
Đây là năm 2018 và GPU cao cấp nhất có thể kiểm tra khoảng 1,5 tỷ băm SHA-512 mỗi giây.
Salting là một cách để đưa dữ liệu ngẫu nhiên vào mật khẩu.Tuy nhiên, điều đó sẽ không giúp ích gì trong trường hợp của SHA-512.Chỉ có mật khẩu đủ khó để giữ tài khoản của người dùng một cách an toàn khỏi các cuộc tấn công "vũ phu" của tin tặc.
Virgil nói thêm rằng trang web dịch vụ việc làm của LinkedIn đã bị hack vào năm 2012 vì nó đã sử dụng SHA-1 của SHA-2.Cuộc tấn công nhằm vào mật khẩu của 8 triệu người dùng LinkedIn.Năm sau, thị trường trực tuyến Livingsocial, cũng đã sử dụng SHA-1 và dẫn đến mất 50 triệu mật khẩu trong một cuộc tấn công tương tự.Do đó, thật đáng ngạc nhiên khi Telegram quyết định sử dụng hệ thống bảo vệ mật khẩu yếu như vậy.
** Thứ hai, Telegram tuyên bố rằng nó được mã hóa dữ liệu người dùng và sau đó gửi nó lên đám mây.Dữ liệu sau đó được giải mã và mã hóa lại để xác nhận danh tính của người dùng trên các dịch vụ của bên thứ ba.Dữ liệu thu được không hoàn toàn ngẫu nhiên và được sử dụng một lần nữa SHA-2. ** Ngoài ra, ứng dụng không bao gồm các tùy chọn chữ ký kỹ thuật số và sự thiếu hụt kỹ thuật số này sẽ làm cho dữ liệu được sửa đổi mà không cần người dùng.
Trong một blog chính thức, Telegram nói rằng dịch vụ được mã hóa và chỉ sử dụng mật khẩu mà người dùng đã biết.Tuy nhiên, nghiên cứu này cho thấy các lỗ hổng trong mã có thể khiến người dùng dễ dàng bị tin tặc tấn công.Một số lựa chọn thay thế được Virgil đề xuất bao gồm Scrypt, BCrypt, Argon2, Brainkey và Pythia.
Vào tháng 8 năm 2016, tin tặc đã "sấy khô" số điện thoại của 15 triệu người dùng Telegram Iran.Trước đây, một hệ thống xác thực người dùng đã sử dụng SMS để hoàn thành quá trình dẫn đến cuộc tấn công.Bởi vì hộ chiếu chứa rất nhiều thông tin nhạy cảm và có khả năng nó đã bị tin tặc nhắm mục tiêu.Hiện tại, Telegram đang xử lý tình huống và cải thiện tính bảo mật của "sản phẩm" mới này.
**Người giới thiệu:**
* [Các vấn đề bảo mật hộ chiếu Telegram được phơi bày bởi các chuyên gia bảo mật] (https://cryptocoinsnews.com/telegram-passport-security-ersues-exposed-by-security-Experts/)
* [LinkedIn Hack đã phơi bày 8 triệu mật khẩu] (https://www.wired.com/2012/06/linkedin-hack-8-million-passwords/)
* [LivingSocial Hack tiếp xúc với 50 triệu mật khẩu] (https://www.cnet.com/news/livingsocial-hack-cated-50-million-passwords/)
=======================================
**Telegram Passport Security Issues Exposed by Security Experts**
Telegram Passport is a new feature that allows users to upload personal identification documents such as passports, identity cards, and driver's licenses to the Telegram cloud. These documents are encrypted so that users can verify their identities on third-party services without displaying their personal data.
However, a security expert has found several security issues with Telegram Passport.
**Firstly, Telegram uses Secure Hashing Algorithm 2 (SHA-512), which is a weak password hashing algorithm.** Virgil Security explained that to secure passwords, a standard should make it take a lot of time for hackers to guess each password.
This is 2018 and the highest-end GPUs can check about 1.5 billion Sha-512 hashes per second.
Salting is a way to include random data in a password. However, that will not help in the case of Sha-512. Only a password is difficult enough to keep the user's account safely from hackers' "brute-force" attacks.
Virgil added that the LinkedIn employment service website was hacked in 2012 because it used Sha-1 of Sha-2. The attack was aimed at the passwords of 8 million LinkedIn users. The following year, the Livingsocial online marketplace, also used SHA-1 and resulted in a loss of 50 million passwords in a similar attack. Therefore, it was surprising that Telegram decided to use such a weak password protection system.
**Secondly, Telegram stated that it encrypted user data and then sent it to the cloud. The data is then decrypted and re-encrypted to confirm the user's identity on third-party services. The data obtained is not completely random and used SHA-2 again.** In addition, the application does not include digital signature options and this digital shortage will make the data be modified without the user.
In an official blog, Telegram said that the service is encrypted and only used the password that the user already knows. However, this study shows that the loopholes in codes can make users easily attacked by hackers. Some alternatives recommended by Virgil include Scrypt, BCrypt, Argon2, BrainKey, and Pythia.
In August 2016, hackers "dried" the phone number of 15 million Telegram Iran users. Previously, a user authentication system used SMS to complete the process that led to the attack. Because the passport holds a lot of sensitive information and it is likely that it has been targeted by hackers. Currently, Telegram is handling the situation and improving the security of this new "product".
**References:**
* [Telegram Passport Security Issues Exposed by Security Experts](https://cryptocoinsnews.com/telegram-passport-security-issues-exposed-by-security-experts/)
* [LinkedIn Hack Exposed 8 Million Passwords](https://www.wired.com/2012/06/linkedin-hack-8-million-passwords/)
* [Livingsocial Hack Exposed 50 Million Passwords](https://www.cnet.com/news/livingsocial-hack-exposed-50-million-passwords/)
Telegram Passport là một tính năng mới cho phép người dùng tải lên các tài liệu nhận dạng cá nhân như hộ chiếu, thẻ nhận dạng và giấy phép lái xe lên đám mây Telegram.Các tài liệu này được mã hóa để người dùng có thể xác minh danh tính của họ trên các dịch vụ của bên thứ ba mà không hiển thị dữ liệu cá nhân của họ.
Tuy nhiên, một chuyên gia bảo mật đã tìm thấy một số vấn đề bảo mật với Hộ chiếu Telegram.
** Đầu tiên, Telegram sử dụng thuật toán băm an toàn 2 (SHA-512), đây là thuật toán băm mật khẩu yếu..
Đây là năm 2018 và GPU cao cấp nhất có thể kiểm tra khoảng 1,5 tỷ băm SHA-512 mỗi giây.
Salting là một cách để đưa dữ liệu ngẫu nhiên vào mật khẩu.Tuy nhiên, điều đó sẽ không giúp ích gì trong trường hợp của SHA-512.Chỉ có mật khẩu đủ khó để giữ tài khoản của người dùng một cách an toàn khỏi các cuộc tấn công "vũ phu" của tin tặc.
Virgil nói thêm rằng trang web dịch vụ việc làm của LinkedIn đã bị hack vào năm 2012 vì nó đã sử dụng SHA-1 của SHA-2.Cuộc tấn công nhằm vào mật khẩu của 8 triệu người dùng LinkedIn.Năm sau, thị trường trực tuyến Livingsocial, cũng đã sử dụng SHA-1 và dẫn đến mất 50 triệu mật khẩu trong một cuộc tấn công tương tự.Do đó, thật đáng ngạc nhiên khi Telegram quyết định sử dụng hệ thống bảo vệ mật khẩu yếu như vậy.
** Thứ hai, Telegram tuyên bố rằng nó được mã hóa dữ liệu người dùng và sau đó gửi nó lên đám mây.Dữ liệu sau đó được giải mã và mã hóa lại để xác nhận danh tính của người dùng trên các dịch vụ của bên thứ ba.Dữ liệu thu được không hoàn toàn ngẫu nhiên và được sử dụng một lần nữa SHA-2. ** Ngoài ra, ứng dụng không bao gồm các tùy chọn chữ ký kỹ thuật số và sự thiếu hụt kỹ thuật số này sẽ làm cho dữ liệu được sửa đổi mà không cần người dùng.
Trong một blog chính thức, Telegram nói rằng dịch vụ được mã hóa và chỉ sử dụng mật khẩu mà người dùng đã biết.Tuy nhiên, nghiên cứu này cho thấy các lỗ hổng trong mã có thể khiến người dùng dễ dàng bị tin tặc tấn công.Một số lựa chọn thay thế được Virgil đề xuất bao gồm Scrypt, BCrypt, Argon2, Brainkey và Pythia.
Vào tháng 8 năm 2016, tin tặc đã "sấy khô" số điện thoại của 15 triệu người dùng Telegram Iran.Trước đây, một hệ thống xác thực người dùng đã sử dụng SMS để hoàn thành quá trình dẫn đến cuộc tấn công.Bởi vì hộ chiếu chứa rất nhiều thông tin nhạy cảm và có khả năng nó đã bị tin tặc nhắm mục tiêu.Hiện tại, Telegram đang xử lý tình huống và cải thiện tính bảo mật của "sản phẩm" mới này.
**Người giới thiệu:**
* [Các vấn đề bảo mật hộ chiếu Telegram được phơi bày bởi các chuyên gia bảo mật] (https://cryptocoinsnews.com/telegram-passport-security-ersues-exposed-by-security-Experts/)
* [LinkedIn Hack đã phơi bày 8 triệu mật khẩu] (https://www.wired.com/2012/06/linkedin-hack-8-million-passwords/)
* [LivingSocial Hack tiếp xúc với 50 triệu mật khẩu] (https://www.cnet.com/news/livingsocial-hack-cated-50-million-passwords/)
=======================================
**Telegram Passport Security Issues Exposed by Security Experts**
Telegram Passport is a new feature that allows users to upload personal identification documents such as passports, identity cards, and driver's licenses to the Telegram cloud. These documents are encrypted so that users can verify their identities on third-party services without displaying their personal data.
However, a security expert has found several security issues with Telegram Passport.
**Firstly, Telegram uses Secure Hashing Algorithm 2 (SHA-512), which is a weak password hashing algorithm.** Virgil Security explained that to secure passwords, a standard should make it take a lot of time for hackers to guess each password.
This is 2018 and the highest-end GPUs can check about 1.5 billion Sha-512 hashes per second.
Salting is a way to include random data in a password. However, that will not help in the case of Sha-512. Only a password is difficult enough to keep the user's account safely from hackers' "brute-force" attacks.
Virgil added that the LinkedIn employment service website was hacked in 2012 because it used Sha-1 of Sha-2. The attack was aimed at the passwords of 8 million LinkedIn users. The following year, the Livingsocial online marketplace, also used SHA-1 and resulted in a loss of 50 million passwords in a similar attack. Therefore, it was surprising that Telegram decided to use such a weak password protection system.
**Secondly, Telegram stated that it encrypted user data and then sent it to the cloud. The data is then decrypted and re-encrypted to confirm the user's identity on third-party services. The data obtained is not completely random and used SHA-2 again.** In addition, the application does not include digital signature options and this digital shortage will make the data be modified without the user.
In an official blog, Telegram said that the service is encrypted and only used the password that the user already knows. However, this study shows that the loopholes in codes can make users easily attacked by hackers. Some alternatives recommended by Virgil include Scrypt, BCrypt, Argon2, BrainKey, and Pythia.
In August 2016, hackers "dried" the phone number of 15 million Telegram Iran users. Previously, a user authentication system used SMS to complete the process that led to the attack. Because the passport holds a lot of sensitive information and it is likely that it has been targeted by hackers. Currently, Telegram is handling the situation and improving the security of this new "product".
**References:**
* [Telegram Passport Security Issues Exposed by Security Experts](https://cryptocoinsnews.com/telegram-passport-security-issues-exposed-by-security-experts/)
* [LinkedIn Hack Exposed 8 Million Passwords](https://www.wired.com/2012/06/linkedin-hack-8-million-passwords/)
* [Livingsocial Hack Exposed 50 Million Passwords](https://www.cnet.com/news/livingsocial-hack-exposed-50-million-passwords/)
