Vulnerabilidad en #Mega permite obtener contraseñas
Con menos de una semana de vida, Mega está siendo analizado, probado y revisado a fondo (aquí, aquí, aquí, aquí, y aquí.) por multitud de usuarios y expertos que tratan de averiguar sus secretos, ventajas y vulnerabilidades y comprobar si cumple las enormes expectativas creadas.
Uno de estos investigadores es Steve “Sc00bz” Thomas, experto en seguridad que al parecer ha descubierto una posible vulnerabilidad en el sistema de registro de Mega que permitiría a un atacante hacerse con las contraseñas de acceso de una cuenta y tomar su control.
Dicho así suena muy grave, pero para que esto suceda deben darse varias condiciones. En realidad, el problema parece radicar en el e-mail de confirmación de las cuentas que envía Mega a los usuarios y en el enlace en el que debemos pinchar para verificar que lo hemos recibido.
Este enlace incluiría un hash de nuestra contraseña así como la clave maestra, cifrada, que luego se usará para descifrar los archivos que almacenemos en nuestro espacio en Mega.
Thomas lo que ha hecho es elaborar una herramienta que ha llamado MegaCracker y que básicamente recoge esta información del e-mail de confirmación y trata de descifrar nuestra contraseña por fuerza bruta.
Hacerse con el control de una cuenta no es, por tanto, algo inmediato. Para que un atacante pueda hacerse con nuestra contraseña debe en primer lugar tener acceso a nuestro correo para hacerse con el e-mail de verificación enviado por Mega, y en segundo lugar averiguar la contraseña que está cifrada con AES.
Desde Mega todavía no han hecho una declaración oficial sobre si cambiarán el formato del enlace, aunque desde varios medios como Twitter y su blog oficial se ha comentado la importancia de elegir una contraseña con un nivel de seguridad adecuado y que siguen trabajando para mejorar el funcionamiento de un servicio que se ha visto claramente desbordado en estos primeros días de funcionamiento.
Actualización: Mega ha confirmado que está trabajando en mejorar el proceso.
Fuente: Xatakaon
Uno de estos investigadores es Steve “Sc00bz” Thomas, experto en seguridad que al parecer ha descubierto una posible vulnerabilidad en el sistema de registro de Mega que permitiría a un atacante hacerse con las contraseñas de acceso de una cuenta y tomar su control.
Dicho así suena muy grave, pero para que esto suceda deben darse varias condiciones. En realidad, el problema parece radicar en el e-mail de confirmación de las cuentas que envía Mega a los usuarios y en el enlace en el que debemos pinchar para verificar que lo hemos recibido.
Este enlace incluiría un hash de nuestra contraseña así como la clave maestra, cifrada, que luego se usará para descifrar los archivos que almacenemos en nuestro espacio en Mega.
Thomas lo que ha hecho es elaborar una herramienta que ha llamado MegaCracker y que básicamente recoge esta información del e-mail de confirmación y trata de descifrar nuestra contraseña por fuerza bruta.
Hacerse con el control de una cuenta no es, por tanto, algo inmediato. Para que un atacante pueda hacerse con nuestra contraseña debe en primer lugar tener acceso a nuestro correo para hacerse con el e-mail de verificación enviado por Mega, y en segundo lugar averiguar la contraseña que está cifrada con AES.
Desde Mega todavía no han hecho una declaración oficial sobre si cambiarán el formato del enlace, aunque desde varios medios como Twitter y su blog oficial se ha comentado la importancia de elegir una contraseña con un nivel de seguridad adecuado y que siguen trabajando para mejorar el funcionamiento de un servicio que se ha visto claramente desbordado en estos primeros días de funcionamiento.
Actualización: Mega ha confirmado que está trabajando en mejorar el proceso.
Fuente: Xatakaon
pero eso no es una vulnerabilidad, en todo caso, varias pagina ke envia tu password para activar tu cuenta, la solucion simple es cambiar el password ke pusiste nada mas...
ResponderBorrarSaumal20, es una vulnerabilidad.
ResponderBorrarPor ej. Si yo tengo acceso a tu correo, sin que vos sepas obvio... Y quiero entrar a tu facebook usando el recupero de la password por correo, Facebook me obliga a cambiar la password, ergo, te enteras y en un ataque de paranoia cambias todas tus contraseñas.
En este caso solicito el recupero, no lo activo, crackeo la password y nunca te enteraste que estoy entrando a todo.
Es una vulnerabilidad, compleja. Pero es una falla en el sistema de recupero. Ya que nunca se debe dar indicios de la password, ni es un Hash.
Anonimo,
ResponderBorrarQue interesante tu explicación, que no tiene nada que ver con este artículo.
El tema es como interceptas un correo generado desde MEGA para decifrar la contraseña usando brute force ???
Es correcto mencionar una vulnerabilidad, pero es en el correo !!!
Ahora como se te ocurre obtener ese correo de confirmación ?? Teniendo previo acceso al correo de la víctima ??, BAH, si accedes a su correo para que quieres ver la basura que sube a MEGA.
Aquí tienes que utilizar algo de ingeniería social, o bien un man in the middle.
Saludos