#MEGApwn, informa la clave "indescifrable" de #Mega
MEGA siempre ha dicho que la clave maestra para cifrar los archivos subidos es secreta y que ni ellos la tienen. Obviamente esto es mentira y MEGA o cualquier otra persona con acceso a al sistema puede encontrar esta clave fácilmente.
MEGAPwn es un simple Script Javascript de 32 líneas que se agrega como Bookmarklet en Firefox e informa la master key de MEGA, supuestamente secreta.
Esto demuestra que en realidad esta clave no está cifrada como nos querían hacer creer los de MEGA y que además puede ser fácilmente recuperada. Además esto permitiría a MEGA (y a cualquiera) abrir y leer los archivos de los usuarios.
Obviamente este engaño de MEGA también permitiría a fuerzas del orden, a través de una orden judicial o citación emitida contra MEGA, acceder y recuperar archivos de usuarios, incluso sin su consentimiento.
Esto simplemente demuestra uno de los muchos problemas graves e insolubles que se enfrenta cuando se hace criptografía en las aplicaciones web de Javascript, del lado del cliente. Numerosos criptógrafos respetados han advertido en contra de hacer esto durante años.
El sitio web de MEGA almacena la clave maestra "secreta" en el área de almacenamiento local del navegador. MEGApwn simplemente recolecta la suficiente cantidad de información como para probar la llave correcta.
Cristian de la Redacción de Segu-Info
MEGAPwn es un simple Script Javascript de 32 líneas que se agrega como Bookmarklet en Firefox e informa la master key de MEGA, supuestamente secreta.
Obviamente este engaño de MEGA también permitiría a fuerzas del orden, a través de una orden judicial o citación emitida contra MEGA, acceder y recuperar archivos de usuarios, incluso sin su consentimiento.
Esto simplemente demuestra uno de los muchos problemas graves e insolubles que se enfrenta cuando se hace criptografía en las aplicaciones web de Javascript, del lado del cliente. Numerosos criptógrafos respetados han advertido en contra de hacer esto durante años.
El sitio web de MEGA almacena la clave maestra "secreta" en el área de almacenamiento local del navegador. MEGApwn simplemente recolecta la suficiente cantidad de información como para probar la llave correcta.
Cristian de la Redacción de Segu-Info
Parecía demasiado bueno para ser verdad. Saludos desde México.
ResponderBorrar