Mega es vulnerable y lanzan herramienta que revela las contraseñas almacenadas en los correos electronicos.


El nuevo proyecto de  Kim Dotcom sin duda un gran éxito, acumulando un gran número de registros ya que después de una hora, el sitio había recibido más de 100.000 inscripciones, y fue hasta la mitad de un millón de usuarios registrados en las primeras 14 horas. De acuerdo con un nuevo tweet de dotcom , está viendo actualmente 60 archivos por segundo.

Mega ha hecho una gran cosa acerca de la seguridad y la privacidad, con el sitio que ofrece lo que denomina cifrado controlado por el usuario, o UCE. Todos los archivos almacenados en Mega se cifran automáticamente, como son las transferencias de datos hacia y desde el sitio. Los usuarios tienen las llaves para sus propios archivos para que el personal de Mega no sabe lo que se está cargando o compartida, una medida diseñada para proteger el lugar de las autoridades. Sin embargo, a pesar de toda esta seguridad prometedor, resulta que el sitio puede no ser tan seguro como facturado.

De acuerdo con la criptografía investigador Steve Thomas , un "hash" de la contraseña está incluida en el código de confirmación enviado por Mega cuando un usuario se registra para el servicio. Y esto podría permitir a los Hackers acceder a las contraseñas de usuario. Para probar el punto que ha lanzado una herramienta llamada MegaCracker que agrieta los hashes incrustados en los enlaces de confirmación.

Por supuesto, esto significa que un hacker (o potencialmente, los servicios de seguridad) tendrían que interceptar un correo electrónico antes de que la contraseña puede ser descifrada, pero sigue siendo un problema potencial para el nuevo sitio.

Para utilizar la herramienta, hay que abrir un símbolo del sistema, siga las instrucciones en el readme.txt y pegar en la cadena hash desde el email de confirmación (o de algún otro correo electrónico, si lo tiene).

De acuerdo con Steve Thomas, "Hay por lo menos seis cosas en el enlace de confirmación"

  • cifrado de clave maestra (16 bytes)
  • hash de la contraseña (16 bytes)
  • campo desconocido (15 bytes?)
  • dirección de correo electrónico, nombre, y el campo desconocido (8 bytes?) ".

La seguridad de Mega ha estado bajo escrutinio desde que el sitio en marcha, y varios expertos han señalado otros defectos potenciales, tales como cross site scripting (XSS), y la generación de números aleatorios. En respuesta a las alegaciones, Kim Dotcom twitteó : "Ha habido algunos informes erróneos acerca de nuestra encriptación y seguridad Espere un blog sobre. # Mega el día de hoy ".

¿Te gusto este POST? ¿Quieres recibir este y mucho mas contenido rápidamente?. hazte fan de nuestra página en Facebook
Share on Google Plus

About Hiber H.

Hola mi nombre es Hiber soy autor unico de h2geek. Adicto a Internet y a las PC'S, me gusta compartir lo que aprendo dia a dia y dejarlo aquí, en este pequeño espacio. Puedes seguirme en Twitter @blogh2geek, Facebook f/elblogdehiiara. "Compartir es la mejor forma de aprender."
    Blogger Comment
    Facebook Comment

0 comentarios:

Publicar un comentario