Mega | Especialistas quebram segurança e conseguem ler dados dos usuários

Listen to this article

Um estudo realizado por pesquisadores do Instituto Federal de Tecnologia de Zurique, na Suíça, colocou em xeque a principal alegação do serviço de hospedagem Mega, que afirma não ser capaz de ler os dados enviados pelos usuários. Os especialistas foram capazes de quebrar a criptografia de ponta a ponta da plataforma, afirmando que a arquitetura dela é cheia de falhas que permitem a qualquer administrador recuperar senhas e acessar os arquivos na nuvem.

Mais do que isso, a prova de conceito demonstrou que um atacante com os privilégios corretos não somente seria capaz de recuperar a senha de um utilizador, mas também hospedar arquivos sem autorização, sem que fosse possível distinguir essa ação de um upload legítimo. A exploração funcionaria principalmente contra usuários constantes, com mais de 512 logins registrados — quanto mais, melhor, inclusive, já que o ataque se torna mais fácil na medida em que as entradas se acumulam.

O estudo da universidade apresentou cinco vetores distintos de ataques contra a infraestrutura do Mega, todos resultando em um comprometimento de contas e da confidencialidade prometida pela plataforma. O trabalho foi publicado nesta terça-feira (21), mesma data em que a empresa de hospedagem aplicou atualizações para resolver os problemas, que foram apresentados pela equipe de pesquisadores em março deste ano.

Estudo apontou que Mega seria capaz de recuperar senhas de acesso a contas, enquanto aberturas permitiriam até o upload em nome dos usuários; atualização foi liberada nesta semana, mas pesquisadores afirmam não ser suficiente (Imagem: Divulgação/Mega)

Em comunicado oficial, o serviço disse ter aplicado diferentes mitigações e indicou que usuários de clientes de acesso desenvolvidos por terceiros, como o Rclone, estavam mais vulneráveis, uma vez que sessões persistentes, como as disponíveis via navegador para a maior parte dos usuários, não contam como novos logins. Mesmo para estes, afirmou, são poucos os casos em que a exploração efetivamente seria possível, enquanto não existem indícios de ataques.

Atualização do Mega traz correção parcial, afirmam especialistas

Os pesquisadores responsáveis pelo estudo também afirmam que os updates aplicados pelo serviço de hospedagem não resolvem todos os problemas apontados. Enquanto não é mais possível recuperar senhas, ainda existe a falta de checagem de integridade no upload dos arquivos e outros problemas sistêmicos que permitiriam a plantação de arquivos. Além disso, eles apontam que novas vias de exploração podem ter sido abertas, não indicando a atualização como uma solução.

No comunicado sobre a correção, que também traz elementos técnicos e indicadores, o Mega afirma que um golpe dessa categoria seria extremamente difícil mesmo antes das melhorias, uma vez que um atacante teria que obter acesso ao “coração da infraestrutura do servidor”. Outra hipótese seria um golpe do tipo man in the middle, com a interceptação de conexões que são protegidas por criptografia e, sendo assim, indecifráveis mesmo que captadas por terceiros.

O comentário oficial, entretanto, não aborda a principal questão levantada por estudo, que também foi usada pelo antigo dono do Mega, Kim Dotcom, ao criticar a plataforma mais uma vez. A ideia é que, diante da possibilidade de recuperação de senhas e chaves de criptografia por terceiros, a segurança e a integridade da própria plataforma foram colocadas à prova, demonstrando, para estes, que a promessa de confidencialidade não é tão forte quanto alegada.

 

 

 

 

 

 

Origem: Canaltech.

João Marcelo de Assis Peres

joao.marcelo@guiadocftv.com.br

GuiadoCFTV

Avalie esta notícia, mande seus comentários e sugestões. Encontrou alguma informação incorreta ou algum erro no texto?

Importante: ‘Todos os Conteúdos divulgados decorrem de informações provenientes das fontes aqui indicadas, jamais caberá ao Guia do CFTV qualquer responsabilidade pelo seu conteúdo, veracidade e exatidão. Tudo que é divulgado é de exclusiva responsabilidade do autor e ou fonte redatora.’

Quer enviar suas notícias? Envie um e-mail para noticias@guiadocftv.com.br

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.