Det kan vi godt sige MEGA er en af de mest populære cloud storage-tjenester. Den har mere end 250 millioner brugere, og det betyder, at mange kan blive ramt i tilfælde af et problem. Det er det, der er sket efter det, de har fundet i en rapport, hvor de viser, at den kan læse brugerdata og dermed bringe privatlivets fred i fare.
MEGA kan se de gemte filer
Et af hovedpunkterne, når vi surfer på internettet, er privatlivets fred. Og det er bare noget, som MEGA har lagt stor vægt på de seneste år. De lancerede meddelelser, der indikerer, at brugernes filer var fuldt beskyttet og at så længe vi brugte stærke adgangskoder, kunne ingen læse, hvad vi gemte.
Måske har det vi nævnte været et nøglepunkt for at nå tallet på 250 millioner brugere og mere end 120 milliarder filer, der optager ikke mindre end 1,000 petabyte. Denne tjeneste lovede, at selv de ikke kunne dekryptere disse filer, så uden tvivl, i det mindste på papiret, var de helt sikre.
Hvad er der sket nu? En uafhængig undersøgelse har analyseret MEGAs såkaldte idiotsikker end-to-end-kryptering og fundet ud af, at den ikke er så idiotsikker. Ifølge de ansvarlige for denne rapport har den arkitektur, som platformen bruger til at kryptere filer talrige sikkerhedsfejl . Det gør det muligt for en ubuden gæst at udføre et angreb for at hente en nøgle, når brugere har logget på flere gange.
De ubudne gæster kunne endda dekryptere de lagrede filer , hvilket direkte kompromitterer brugernes privatliv. Derudover kan de have mulighed for at uploade indhold, der kan være ulovligt eller ondsindet. Derfor advarer disse forskere om, at MEGA-systemet ikke rigtig beskytter brugerne mod en ondsindet server og kan lide under en række angreb, der tilsammen kompromitterer sikkerheden af de lagrede filer.
Opdater for at løse disse problemer
Denne undersøgelse fandt sted sidste marts . De rapporterede problemet direkte til MEGA, og de begyndte hurtigt at arbejde på det. Sidste tirsdag begyndte de at implementere en opdatering, der gør det sværere at udnytte disse fejl og dekryptere de lagrede filer.
Men alligevel indikerer sikkerhedsforskere, at denne patch kun forhindrer et nøglegendannelsesangreb , men ikke problemet med genbrug af adgangskoder, manglende integritetskontrol og andre identifikationsrelaterede fejl. At undgå hovedangrebet gør dog, at de andre ikke kan udføre, men fejlen er der stadig.
Hvad betyder det? Skulle en angriber nogensinde finde en anden måde at få adgang til dem sårbarheder , ville de stadig være der og kunne udnyttes. I øjeblikket er de ikke blevet fuldstændig rettet, og det betyder, at risikoen fortsat eksisterer, dog logisk meget mindre efter at have løst hovedfejlen, der afslørede MEGA-filerne.
Fra MEGA har de udgivet en besked, der indikerer, at der i en kort periode har været muligheden for, at en angriber, under meget begrænsede omstændigheder og mod et begrænset antal brugere, kunne bringe deres kompromis på spil. De tilføjer, at dette allerede er løst.
Kort sagt, som du har set, har MEGA-brugeres privatliv været i fare i mindst et stykke tid. En angriber kan under visse omstændigheder dekryptere de lagrede filer. Det er meget vigtigt at bruge sikre lagringsplatforme, og selvom MEGA er det, kan der altid opstå fejl af denne type.
