Fallos de seguridad en Mega

El pasado domingo 20 de enero, veía la luz Mega, el nuevo proyecto de Kim Dotcom que pretende revolucionar el sector del almacenamiento online después de que con Megaupload, su anterior tentativa, acabara con sus huesos en la cárcel por piratería a gran escala.

En apenas unas horas consiguió su primer millón de usuarios registrados, por lo que parece que sus precios muy ajustados y sus promesas referentes a que cumplen estrictamente con la legalidad han surtido efecto.  “No toleramos la piratería” declaró Finn Batato, un representante de la compañía,  “Hay disposiciones estrictas y nosotros respetamos todos los límites”  y para demostrarlo se basan en un cifrado que califican como “a nivel militar” que hace que aparte del usuario, nadie pueda ver qué es lo que se está subiendo, ni autoridades ni empleados de Mega.

Muchos opinan que el cifrado es un velo detrás del que se esconden para ser legales, que simplemente pretenden repetir el exitoso caso de Megaupload, pero que han buscado una solución para que no puedan acusarlos de nada que vaya contra la ley.

Si  realmente hubieran puesto interés en asegurar los ficheros que se suben a su sistema, no se habrían encontrado ya varios fallos de seguridad. El primero que se detectó fue un XSS en el portal, después llegaron críticas ya que el uso del navegador para cifrar la información abre vías de ataque como la obtención de las claves para romper el SSL. Por último, el investigador Steve “Sc00bz” Thomas ha publicado MegaCracker, una herramienta que permite obtener las contraseñas del usuario desde el enlace que aparece en el correo de confirmación de registro. Obviamente existen formas más seguras de confirmar nuestro registro.

Posiblemente Mega será tan popular como su predecesor, pero es obvio que si quieren que la seguridad y el cifrado se conviertan en su estandarte para proclamar su legalidad, aún tienen bastante trabajo que realizar. Estaremos atentos para comprobar sus avances.

Más información

Hack Players

 
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *