Con menos de una semana de vida, Mega está siendo analizado, probado y revisado a fondo
por multitud de usuarios y expertos que tratan de averiguar sus
secretos, ventajas y vulnerabilidades y comprobar si cumple las enormes
expectativas creadas.
Uno de estos investigadores es Steve “Sc00bz” Thomas, experto en seguridad que al parecer ha descubierto una posible vulnerabilidad en el sistema de registro de Mega que permitiría a un atacante hacerse con las contraseñas de acceso de una cuenta y tomar su control.
Dicho así suena muy grave, pero para que esto suceda deben darse
varias condiciones. En realidad, el problema parece radicar en el e-mail de confirmación de las cuentas que envía Mega a los usuarios y en el enlace en el que debemos pinchar para verificar que lo hemos recibido.
Este enlace incluiría un hash de nuestra contraseña así como la clave maestra, cifrada, que luego se usará para descifrar los archivos que almacenemos en nuestro espacio en Mega.
Thomas lo que ha hecho es elaborar una herramienta que ha llamado MegaCracker
y que básicamente recoge esta información del e-mail de confirmación y
trata de descifrar nuestra contraseña por el clásico método de ir
probando caracteres.
Hacerse con el control de una cuenta no es, por tanto, algo
inmediato. Para que un atacante pueda hacerse con nuestra contraseña
debe en primer lugar tener acceso a nuestro correo para hacerse con el e-mail de verificación enviado por Mega, y en segundo lugar averiguar la contraseña que está cifrada con AES.
Desde Mega todavía no han hecho una declaración oficial sobre si
cambiarán el formato del enlace, aunque desde varios medios como Twitter
y su blog oficial se ha comentado la importancia de elegir una contraseña con un nivel de seguridad adecuado
y que siguen trabajando para mejorar el funcionamiento de un servicio
que se ha visto claramente desbordado en estos primeros días de
funcionamiento.
Fuente: Xatakaon
No hay comentarios:
Publicar un comentario