Dünyanın en popüler bulut depolamalarından biri (yeni sekmede açılır) hizmet sağlayıcılar, tehdit aktörlerinin şifrelenmiş bile olsa okumalarına izin veren birkaç ciddi güvenlik açığı taşıyordu. (yeni sekmede açılır) dosyalar, araştırmacılar buldu.
ETH Zürih’ten bir ekip, Mega platformda, bir RSA anahtarının (RSA algoritmasına dayalı özel bir anahtar) çalınması ve deşifre edilmesi etrafında dönen beş güvenlik açığı keşfetti.
Ekip, bu yılın Mart ayı sonlarında kusurları keşfetti ve şirkete bildirdi. Çok geçmeden, Mega bazı kusurlar için yamalar ve hafifletmeler yayınladı, diğerleri için ise yamalar hala devam ediyor. Yamaların kullanıcı deneyimini etkilemediği ve kullanıcıların depolanan verilerini yeniden şifrelemesini gerektirmediği söylendi. Ayrıca herhangi bir parolayı değiştirmeleri veya yeni anahtarlar oluşturmaları gerekmez.
Hoşnutsuz çalışanlar için ideal
Yamaların tüm kusurlar için mevcut olmaması kesinlikle kötü haber olsa da, iyi haber şu ki Mega henüz kimsenin onları vahşi doğada istismar ettiğini görmedi. Kalan yamaların ne zaman yayınlanacağı konusunda somut bir zaman çizelgesi yok.
Kusurun bir video açıklamasında, araştırmacılar, saldırının karşılaştırma yoluyla temel faktör tahminine dayandığını ve saldırganın bir uç noktayı ihlal etmek için en az 512 oturum açma girişimine ihtiyaç duyacağını söyledi. (yeni sekmede açılır). Dahası, Mega’nın sunucularına da erişmeleri gerekecek, bu da dışarıdan gelen tehditler anlamına geliyor – güvenlik açıkları tam olarak geçerli değil.
Ancak içerdekiler veya hoşnutsuz çalışanlar için bu tamamen farklı bir hikaye.
Mega, yaptığı açıklamada, “Neredeyse on yıl önce alınan görünüşte zararsız kriptografik tasarım kısayollarının sektörün en parlak üç zekasının incelemesi altında nasıl geri teptiğini görmek hem korkutucu hem de entelektüel olarak büyüleyici.” Dedi.
“Belirlenen kriptografik kusurların geniş yelpazesine rağmen, çok yüksek bir sömürü eşiği, belirli bir rahatlama hissi sağlıyor.”
Kusurun ayrıntılı bir dökümü ve MEGA’nın karşı önlemleri şu adreste bulunabilir: bu bağlantı (yeni sekmede açılır).
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)