Internet

11/02/2013 17h00 - Atualizado em 31/08/2016 15h59

Sete vulnerabilidades são encontradas no site Mega, de Kim Dotcom

Pedro Zambarda
por
Para o TechTudo

O Mega blog afirmou que sete vulnerabilidades foram encontradas no site Mega, lançado no mês passado. Durante a festa de lançamento, o hacker Kim Dotcom afirmou que pagaria até 10 mil euros para quem quebrasse a segurança de seu site. Parece que não demorou muito para aparecerem os defeitos dentro do Mega.

Qual o melhor programa de armazenamento de arquivos na nuvem? Opine

As vulnerabilidades foram classificadas por gravidade de seus erros. Você confere, abaixo, uma tradução do inglês para o português feita pelo TechTudo dos possíveis problemas de segurança do site Mega elencados no próprio blog do site.

Mega foi o site de compartilhamento de arquivos criado por Kim Dotcom (Divulgação)Mega foi o site de compartilhamento de arquivos criado por Kim Dotcom (Divulgação)


Download grátis do app do TechTudo: receba dicas e notícias de tecnologia no Android ou iPhone

Gravidade classe VI: Falhas de design criptográfico fundamentais;

Gravidade classe V: Execução de código remoto no núcleo servidores Mega (API/DB/clusters de raiz) ou brechas no controle de acesso principal;

Gravidade classe IV: Falhas de design criptográfico que podem ser invadidas somente após comprometer infraestrutura de servidor (execução ao vivo ou post-mortem);

Gravidade classe III: Entrada de um código remoto que invade navegadores de clientes (chamado cross-site scripting);

Gravidade classe II: Scripts cross-site que podem invadir somente após comprometer o cluster de servidor API ou após um ataque bem sucedido tipo “man-in-the-middle” (por exemplo, através da emissão de uma manipulação de certificado falso SSL + DNS / BGP);

Gravidade classe I: Todo impacto menor ou os cenários puramente teóricos.

Dessas seis classes de erros, o Mega encontrou sete vulnerabilidades registradas em seu servidor. Os problemas de classe V e VI não foram detectados.

O erro de gravidade classe IV detectou um possível ataque  ”man-in-the-middle”. Três erros de classe IIII foram encontrados, envolvendo XSS (cross-script, script que afeta mais de um site) e corrigidos em horas.

O navegador Google Chrome pareceu imune à vulnerabilidade. Um erro de classe II foi encontrado, envolvendo XSS do servidor API até a página de download. Mais dois erros de classe I foram encontrados, com o header do Mega desprotegido no protocolo HTTP e risco de invasão.

O site de Kim Dotcom apresentou uma série de possibilidades de ataque de crackers, mas talvez ainda seja cedo para concluir que seu serviço é ou não vulnerável. Sua equipe está elencando erros detectados e erros possíveis, além de desenvolver soluções em algumas horas. Mesmo assim, fica a dúvida se o Mega é realmente tão seguro quanto prega seu fundador.

E você? Utiliza o Mega? Acha que está seguro no site? Comente no TechTudo.

Via ArsTechnica e Mega blog

Seja o primeiro a comentar

Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie. Leia as perguntas mais frequentes para saber o que é impróprio ou ilegal.

recentes

populares