Descubren una posible vulnerabilidad en Mega que permitiría averiguar nuestras contraseñas

Síguenos

Mega Password

Con menos de una semana de vida, Mega está siendo analizado, probado y revisado a fondo por multitud de usuarios y expertos que tratan de averiguar sus secretos, ventajas y vulnerabilidades y comprobar si cumple las enormes expectativas creadas.

Uno de estos investigadores es Steve “Sc00bz” Thomas, experto en seguridad que al parecer ha descubierto una posible vulnerabilidad en el sistema de registro de Mega que permitiría a un atacante hacerse con las contraseñas de acceso de una cuenta y tomar su control.

Dicho así suena muy grave, pero para que esto suceda deben darse varias condiciones. En realidad, el problema parece radicar en el e-mail de confirmación de las cuentas que envía Mega a los usuarios y en el enlace en el que debemos pinchar para verificar que lo hemos recibido.

Este enlace incluiría un hash de nuestra contraseña así como la clave maestra, cifrada, que luego se usará para descifrar los archivos que almacenemos en nuestro espacio en Mega.

Thomas lo que ha hecho es elaborar una herramienta que ha llamado MegaCracker y que básicamente recoge esta información del e-mail de confirmación y trata de descifrar nuestra contraseña por el clásico método de ir probando caracteres.

Magacracker

Hacerse con el control de una cuenta no es, por tanto, algo inmediato. Para que un atacante pueda hacerse con nuestra contraseña debe en primer lugar tener acceso a nuestro correo para hacerse con el e-mail de verificación enviado por Mega, y en segundo lugar averiguar la contraseña que está cifrada con AES.

Desde Mega todavía no han hecho una declaración oficial sobre si cambiarán el formato del enlace, aunque desde varios medios como Twitter y su blog oficial se ha comentado la importancia de elegir una contraseña con un nivel de seguridad adecuado y que siguen trabajando para mejorar el funcionamiento de un servicio que se ha visto claramente desbordado en estos primeros días de funcionamiento.

Vía | Arstechnica
En Xataka On | Probamos Mega, primeras impresiones

Los comentarios se han cerrado

Ordenar por:

8 comentarios