A Virgil Security, Inc., uma importante empresa que presta serviços de segurança na área de criptomoedas, publicou um relatório que levanta preocupações sobre a segurança do Telegram Passport, uma nova aplicação anunciada pela rede social que pretende ser uma espécie de identidade digital podendo ser utilizada por outros aplicativos para garantir a identidade do usuário, como pela operadora de serviços digitais ePayments, que já anunciou suporte ao serviço. O ePayments suporta transações com criptomoedas como Bitcoin (BTC), Ethereum (ETH), Bitcoin Cash (BCH) e Litecoin (LTC).
No Telegram Passport, os documentos de identificação pessoal de usuários, como passaportes, carteiras de identidade e licenças de motorista, são armazenados na nuvem do Telegram. Esses documentos são criptografados para que os usuários possam verificar suas identidades em serviços de terceiros sem expor seus dados pessoais.
Segundo a Virgil, isso não é seguro, pois o Telegram usa o algoritmo “Secure Hashing Algorithm 2 (SHA-512)”, que é criptograficamente fraco,
“É 2018 e uma GPU de nível superior pode verificar a força bruta cerca de 1,5 bilhão de hashes SHA-512 por segundo”, segundo a Virgil.
A empresa de segurança acrescentou que o LinkedIn foi invadido em 2012, o portal usava o protocolo de criptografia SHA-1, assim como o LivingSocial, outro portal que foi invadido e perdeu 50 milhões de senhas. Por isso “é surpreendente que o Telegram tenha decidido usar um sistema de proteção de senha tão fraco”, adverte a Virgil, que completa que “a ausência de assinatura digital permite que seus dados sejam modificados sem que você ou o destinatário seja capaz de identificar”.
Em um post em seu blog oficial, o Telegram escreveu que o serviço era criptografado de ponta a ponta e usava uma senha que somente o usuário sabia. No entanto, esta pesquisa mostra que as brechas presentes nos códigos tornam o usuário vulnerável a hackers. Algumas das alternativas fornecidas pela Virgil incluem SCrypt, BCrypt, Argon2, BrainKey e Pythia.
Em agosto de 2016, hackers expuseram os números de telefones de 15 milhões de usuários do Telegram iraniano. Naquela época, um sistema de autenticação de usuários que usava o SMS para concluir o processo permitia o ataque. Como o Passport contém informações confidenciais, ele pode ser alvo de hackers. Cabe agora ao Telegram lidar com a situação e melhorar a segurança desse “produto de alto perfil”.