We kunnen stellen dat MEGA is een van de meest populaire cloudopslagservices. Het heeft meer dan 250 miljoen gebruikers en dat betekent dat bij een probleem velen getroffen kunnen worden. Dat is wat er is gebeurd na wat ze hebben gevonden in een rapport, waarin ze aantonen dat het gebruikersgegevens kan lezen en daarmee de privacy in gevaar brengt.
MEGA kan de opgeslagen bestanden zien
Een van de belangrijkste punten wanneer we op internet surfen, is privacy. En dat is nou net iets waar MEGA de afgelopen jaren veel nadruk op heeft gelegd. Ze lanceerden berichten die aangaven dat de bestanden van gebruikers... volledig beschermd en dat zolang we sterke wachtwoorden gebruikten, niemand kon lezen wat we opsloegen.
Misschien is wat we noemden een belangrijk punt geweest bij het bereiken van de figuur van 250 miljoen gebruikers en meer dan 120 miljard bestanden die maar liefst 1,000 petabyte in beslag nemen. Deze dienst beloofde dat zelfs zij deze bestanden niet konden decoderen, dus zonder twijfel, althans op papier, waren ze volkomen veilig.
Wat is er nu gebeurd? Een onafhankelijk onderzoek heeft de zogenaamde onfeilbare end-to-end-codering van MEGA geanalyseerd en vastgesteld dat deze niet zo onfeilbaar is. Volgens degenen die verantwoordelijk zijn voor dit rapport, heeft de architectuur die door het platform wordt gebruikt om bestanden te versleutelen: talrijke beveiligingsfouten . Dat maakt het voor een potentiële indringer mogelijk om een aanval uit te voeren om een sleutel op te halen wanneer gebruikers een aantal keer hebben ingelogd.
Die indringers kunnen zelfs de opgeslagen bestanden decoderen , waardoor de privacy van gebruikers rechtstreeks in gevaar wordt gebracht. Bovendien kunnen ze inhoud uploaden die mogelijk illegaal of kwaadaardig is. Daarom waarschuwen deze onderzoekers dat het MEGA-systeem gebruikers niet echt beschermt tegen een kwaadwillende server en een reeks aanvallen kan ondergaan die samen de veiligheid van de opgeslagen bestanden in gevaar brengen.
Update om deze problemen op te lossen
Dit onderzoek vond plaats afgelopen maart . Ze meldden het probleem direct bij MEGA en gingen er snel mee aan de slag. Afgelopen dinsdag zijn ze begonnen met het implementeren van een update die het moeilijker maakt om deze fouten te misbruiken en de bestanden die zijn opgeslagen te decoderen.
Maar toch geven beveiligingsonderzoekers aan dat alleen deze patch voorkomt een key recovery-aanval , maar niet het probleem van hergebruik van wachtwoorden, gebrek aan integriteitscontroles en andere identificatiegerelateerde fouten. Het vermijden van de hoofdaanval maakt de anderen echter niet in staat om uit te voeren, maar de bug is er nog steeds.
Wat betekent dit? Mocht een aanvaller ooit een andere manier vinden om toegang te krijgen? kwetsbaarheden , zouden ze er nog steeds zijn en zouden kunnen worden uitgebuit. Op dit moment zijn ze niet volledig gecorrigeerd en dat betekent dat het risico blijft bestaan, hoewel logisch veel minder na het oplossen van de belangrijkste bug die de MEGA-bestanden blootlegde.
Van MEGA hebben ze een bericht vrijgegeven dat aangeeft dat er gedurende een korte periode de mogelijkheid is geweest dat een aanvaller, in zeer beperkte omstandigheden en tegen een beperkt aantal gebruikers, hun compromis in gevaar zou kunnen brengen. Ze voegen eraan toe dat dit al is opgelost.
Kortom, zoals je hebt gezien, is de privacy van MEGA-gebruikers al een tijdje in gevaar. Een aanvaller zou onder bepaalde omstandigheden de opgeslagen bestanden kunnen ontsleutelen. Het gebruik van veilige opslagplatforms is erg belangrijk en hoewel MEGA dat is, kunnen dit soort fouten altijd optreden.
