Fallos de seguridad en Mega

Actualidadcifradoseguridad

El pasado domingo 20 de enero, veía la luz Mega, el nuevo proyecto de Kim Dotcom que pretende revolucionar el sector del almacenamiento online después de que con Megaupload, su anterior tentativa, acabara con sus huesos en la cárcel por piratería a gran escala.

En apenas unas horas consiguió su primer millón de usuarios registrados, por lo que parece que sus precios muy ajustados y sus promesas referentes a que cumplen estrictamente con la legalidad han surtido efecto.  “No toleramos la piratería” declaró Finn Batato, un representante de la compañía,  “Hay disposiciones estrictas y nosotros respetamos todos los límites”  y para demostrarlo se basan en un cifrado que califican como “a nivel militar” que hace que aparte del usuario, nadie pueda ver qué es lo que se está subiendo, ni autoridades ni empleados de Mega.

Muchos opinan que el cifrado es un velo detrás del que se esconden para ser legales, que simplemente pretenden repetir el exitoso caso de Megaupload, pero que han buscado una solución para que no puedan acusarlos de nada que vaya contra la ley.

Si  realmente hubieran puesto interés en asegurar los ficheros que se suben a su sistema, no se habrían encontrado ya varios fallos de seguridad. El primero que se detectó fue un XSS en el portal, después llegaron críticas ya que el uso del navegador para cifrar la información abre vías de ataque como la obtención de las claves para romper el SSL. Por último, el investigador Steve “Sc00bz” Thomas ha publicado MegaCracker, una herramienta que permite obtener las contraseñas del usuario desde el enlace que aparece en el correo de confirmación de registro. Obviamente existen formas más seguras de confirmar nuestro registro.

Posiblemente Mega será tan popular como su predecesor, pero es obvio que si quieren que la seguridad y el cifrado se conviertan en su estandarte para proclamar su legalidad, aún tienen bastante trabajo que realizar. Estaremos atentos para comprobar sus avances.

Más información

Hack Players

 
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.