Mega, dosyalarınızın şifresini çözemeyeceğini söylüyor. Yeni POC istismarı farklı bir şey gösteriyor

Aurich Lawson | Getty Resimleri

Kim’in Dotcom Mega’yı kurmasından bu yana geçen on yılda, bulut depolama hizmeti 250 milyon kayıtlı kullanıcıyı bir araya getirdi ve yer kaplayan 120 milyar dosya depoladı. 1000 petabayttan fazla depolama. Büyümeye katkıda bulunan önemli bir satış noktası, hiçbir üst düzey Mega rakibin vermediği olağanüstü bir vaattir: Mega bile sakladığı verilerin şifresini çözemez.

Örneğin, şirketin ana sayfasında Mega, sunduklarını Dropbox ve Google Drive ile karşılaştıran bir resim sunuyor. Mega’nın daha düşük fiyatlarına ek olarak, karşılaştırma, Mega’nın uçtan uca şifreleme sunduğunu, diğer ikisinin ise vermediğini vurguluyor.

Yıllar boyunca, şirket sürekli olarak dünyaya bunu hatırlattı. hedef ayrım, ki bu belki de en iyi bu blog yazısında özetlenmiştir. İçinde şirket şunları iddia ediyor: “Parolanızın yeterince güçlü ve benzersiz olduğundan emin olduğunuz sürece, hiç kimse MEGA’daki verilerinize erişemez. Son derece olası olmayan bir olayda bile, MEGA’nın tüm altyapısına el konulacak!“(vurgu eklenmiştir).

Dış gözden geçirenler, hizmeti önerirken mega iddiayı öne sürerek kabul etmekten çok mutlu oldular.

On yıl boyunca reddedilen güvenceler

Salı günü yayınlanan araştırma, Mega’nın veya Mega’nın altyapısını kontrol eden bir şirketin hizmette depolanan verilere erişemediği iddiasının doğru olmadığını gösteriyor. Yazarlar, Mega’nın dosyaları şifrelemek için kullandığı mimarinin, platformu kontrol eden herkesin yeterince sık oturum açtıktan sonra kullanıcılara tam bir anahtar kurtarma saldırısı başlatmasını önemsiz kılan temel şifreleme kusurlarıyla dolu olduğunu söylüyor. Bununla, kötü niyetli taraf, saklanan dosyaların şifresini çözebilir ve hatta bir hesaba suçlayıcı veya başka şekilde zararlı dosyaları yükleyebilir; Bu dosyalar gerçek yüklenen verilerden ayırt edilemez.

Araştırmacılar bir web sitesinde “MEGA’nın sisteminin kullanıcılarını kötü niyetli bir sunucudan koruyamadığını ve birlikte kullanıcı dosya gizliliğinin tamamen tehlikeye atılmasına izin veren beş farklı saldırı sunduğunu gösteriyoruz” dedi. “Ayrıca, bir saldırganın tüm istemci özgünlük kontrollerini geçen, kendi seçtikleri kötü amaçlı dosyaları enjekte edebilmesi nedeniyle kullanıcı verilerinin bütünlüğünü bozar. Pratikliklerini ve sömürülebilirliklerini göstermek için tüm saldırıların kavram kanıtı sürümlerini oluşturduk.”

Mega, Mart ayında araştırmacıların raporunu özel olarak aldıktan sonra, Salı günü Mega, saldırıların gerçekleştirilmesini zorlaştıran bir güncelleme yayınlamaya başladı. Ancak araştırmacılar, yamanın yalnızca anahtar kurtarma saldırılarını engellemek için “geçici” bir yol sağladığı ve anahtar yeniden kullanım sorununu, eksik bütünlük kontrollerini ve belirledikleri diğer sistemik sorunları ele almadığı konusunda uyarıyorlar. Araştırmacıların kesin anahtar kurtarma saldırısı artık mümkün olmadığı için, soruşturmada açıklanan diğer istismarlar da artık mümkün değil, ancak kapsamlı bir düzeltmenin olmaması onları endişelendiriyor.

Araştırmacılar bir e-postada “Bu, diğer saldırıların ön koşulları başka şekillerde karşılanırsa, yine de istismar edilebilecekleri anlamına geliyor” diyor. “Bu nedenle, bu yamayı desteklemiyoruz, ancak sistem artık tam olarak önerdiğimiz saldırı zincirine karşı savunmasız olmayacak.”

Mega burada bir tavsiye yayınladı. Ancak servisin başkanı, şirketin müşteri verilerine erişemeyeceğine dair vaatlerini revize etme planı olmadığını söyledi.

Başkan Stephen Hall bir e-postada, “Kısa bir süre için, bir saldırganın çok sınırlı koşullarda ve çok az sayıda kullanıcı için taahhüdümüzü reddetme fırsatı vardı, ancak bu şimdi düzeltildi” dedi.