اكتُشف أن أداة تحديد الهوية الشخصية التي تم إصدارها مؤخرًا تيليغرام باسبورت من تطبيق المراسلة "تيليغرام" عرضةً لهجمات القوة الغاشمة، وفقًا لتقرير نُشر أول أغسطس صادر عن شركة تطوير خدمات وبرمجيات العملات المشفرة "فيرجيل سيكيوريتي، إنك.

وفي يوم ٢٦ يوليو، أعلن تيليغرام عن إطلاق تيليغرام باسبورت المصمم لتشفير معلومات الهوية الشخصية للمستخدمين والسماح لهم بمشاركة بيانات الهوية الخاصة بهم مع أطراف ثالثة مثل عمليات الطرح الأولي للعملات الرقمية ومحافظ العملات المشفرة وأي شخص يمتثل لقواعد اعرف عميلك (KYC).

ويتم الاحتفاظ ببيانات المستخدمين على حل تيليغرام السحابي باستخدام التشفير الشامل، ثم يتم نقلها لاحقًا إلى حل سحابي لا مركزي، والذي لا يستطيع فك تشفير البيانات الشخصية حيث يُنظر إليها على أنها "ضوضاء عشوائية". ومع ذلك، في بحثها الأخير أثارت "فيرجيل سيكيوريتي" مخاوف بشأن حماية كلمة المرور في الخدمة.

فعندما يقوم مستخدم بتشفير البيانات الشخصية، يُقال إنه تم تحميلها إلى سحاب تيليغرام، وعندما يحتاج المستخدم إلى تأكيد صحة خدمة طرف ثالث، فإنه يقوم بفك تشفير تلك البيانات وإعادة تشفيرها لبيانات اعتماد تلك الخدمة. ويقال إن كل هذه العوامل تسهم في احتمال تعرض جدول الهاش لكلمة مرور المستخدم إلى هجمات الاختراق عالية الكفاءة. حيث توضح الشركة:

"يعتمد أمن البيانات التي تقوم بتحميلها على سحابة تيليغرام بشكلٍ أكثر من اللازم على قوة كلمة المرور الخاصة بك نظرًا لأن هجمات القوة الغاشمة تكون سهلة مع اختيار خوارزمية الهاش. كما أن غياب التوقيع الرقمي يسمح بتعديل بياناتك بدونك وبدون أن يتمكن المستلم من معرفة ذلك."

ووفقًا لشركة فيرجيل سيكيوريتي، يستخدم تيليغرام SHA-512، وهي خوارزمية تجزئة لا تهدف إلى تجزئة كلمات المرور. ويتردد أن هذه الخوارزمية تترك كلمات المرور عرضة لهجمات القوة الغاشمة، حتى وإن كانت مؤمنة. وفي علم التشفير، يتم التأمين من خلال إضافة بيانات عشوائية على شكل قيمة سرية إضافية في نهاية المدخلات، والتي تمدد طول كلمة المرور الأصلية، مما يوفر بعض الحماية الإضافية.