คอมโพสิตได้จัดงานเปิดตัว Mega ให้กับ บริษัท เมก้าในวันอาทิตย์ที่คฤหาสน์นอกโอ๊คแลนด์ ผู้ให้บริการเป็นผู้สืบทอดตำแหน่ง Megaupload ซึ่งเป็นเว็บไซต์แบ่งปันไฟล์ที่คอมและเพื่อนร่วมงานของ Dotcom ถูกฟ้องร้องในสหรัฐอเมริกาในเดือนมกราคม 2012 ในข้อหาการละเมิดลิขสิทธิ์

แต่หัวหน้าโปรแกรมเมอร์ Bram van der Kolk (ซ้าย) และ CTO Mathias Ortmann (ขวา) กล่าวว่าเว็บไซต์ของพวกเขาไม่มีความเสี่ยงมากกว่าเว็บไซต์ธนาคารออนไลน์

Mega ใช้ SSL (Secure Sockets Layer) เป็นโปรโตคอลที่ใช้กันอย่างแพร่หลายสำหรับการเข้ารหัสข้อมูลของเว็บไซต์จะปกป้องข้อมูลส่วนบุคคลและข้อมูลของพวกเขา การเข้ารหัสผ่านอินเทอร์เน็ตเพื่อรักษาความปลอดภัยการเชื่อมต่อระหว่างคอมพิวเตอร์ของผู้ใช้กับเซิร์ฟเวอร์ของตัวเอง เมื่อมีการเชื่อมต่อ SSL Mega จะส่งโค้ด JavaScript ไปยังเบราว์เซอร์ของบุคคลซึ่งจะเข้ารหัสไฟล์ของบุคคลนั้นก่อนที่ข้อมูลจะถูกส่งไปยังเซิร์ฟเวอร์ของ Mega

ปัญหาคือ SSL ได้รับการยอมรับว่าเป็นจุดอ่อนของเว็บ. ในปี 2552 Moxie Marlinspike นักวิจัยด้านความปลอดภัยได้สร้างเครื่องมือที่เรียกว่า SSLstrip ซึ่งจะช่วยให้ผู้โจมตีสามารถสกัดกั้นและหยุดการเชื่อมต่อแบบ SSL ได้ ผู้บุกรุกสามารถสอดแนมข้อมูลใด ๆ ที่ผู้ใช้ส่งไปยังเว็บไซต์ปลอม

เนื่องจากเมกะต้องใช้ SSL เป็นหลัก "จริงๆแล้วไม่มีเหตุผลที่จะทำแบบเข้ารหัสลับฝั่งไคลเอ็นต์" Marlinspike กล่าวในการสัมภาษณ์เมื่อวันจันทร์ "รูปแบบเหล่านี้มีความเสี่ยงที่จะเกิดปัญหากับ SSL"

ผู้ที่โจมตี Mega โดยใช้ SSLstrip สามารถส่งจาวาสคริปต์ที่เป็นอันตรายไปยังเบราว์เซอร์ของเหยื่อเองได้ ผู้ใช้จะยับยั้งรหัสผ่านของเขาอย่างหลีกเลี่ยงไม่ได้ซึ่งจะทำให้ผู้โจมตีสามารถถอดรหัสข้อมูลทั้งหมดของเขาที่เก็บไว้กับ Mega ได้ Mathias Ortmann, CTO ของ Mega กล่าวในการสัมภาษณ์เมื่อวันจันทร์ว่ามีความหลากหลายของการโจมตีทางเว็บที่ Mega จะเป็น เสี่ยงเช่นเดียวกับไซต์อื่น ๆ ที่ใช้ SSL เพื่อความปลอดภัยเช่นสำหรับธนาคารออนไลน์ "ถ้าพวกเขาสนใจที่จะอ่านว่าพวกเขาจะได้เห็นว่าเราเป็นพื้นระบุว่าสิ่งที่พวกเขากำลังกล่าวหาเราว่าเป็นเวกเตอร์โจมตีที่เป็นไปได้และมีบางอย่างที่พวกเขาไม่ได้กล่าวหาว่าเราเป็นอย่างไร"

"Ortmann กล่าวว่า "การโจมตีที่เกี่ยวข้องกับ SSL เหล่านี้ไม่ได้มีผลเฉพาะกับเรา พวกเขาใช้กับ บริษัท ที่มีความต้องการด้านความปลอดภัยสูงหรือแม้แต่ข้อกำหนดที่สูงขึ้น "

SSL ได้รับการรับรองจากใบรับรองความปลอดภัยที่เข้ารหัสซึ่งออกโดย บริษัท และองค์กรที่ได้รับอนุญาต แต่ระบบการออกระบบได้รับการวิพากษ์วิจารณ์มานานแล้วตั้งแต่ scammers ได้รับใบรับรองที่ถูกต้องสำหรับเว็บไซต์ที่พวกเขาไม่ได้เป็นเจ้าของ

Ortmann ยอมรับว่ามีผู้พยายามหลอกลวงผู้ออกใบรับรองเพื่อออกใบรับรอง SSL จริงสำหรับ mega.co.r nz ซึ่งจะช่วยให้ผู้โจมตีสามารถสร้างเว็บไซต์ปลอม Mega ที่ดูเหมือนจะมีข้อมูลประจำตัวที่เหมาะสม

ในการพยุงความไม่พอใจที่รุนแรงขององค์กรขนาดใหญ่ของ Kim Dotcom Ortmann กล่าวว่า "ฉันคาดหวังให้รัฐบาลบางแห่งมี mega.co.nz เงาออกใบรับรองในบางจุดและใช้ในการโจมตี "แต่ Mega จะสแกนเป็นระยะ ๆ สำหรับใบรับรอง SSL ไม่ได้รับอนุญาตเขากล่าวว่า

ได้รับการวิพากษ์วิจารณ์จาก Nadim Kobeissi ผู้พัฒนาโปรแกรมข้อความโต้ตอบแบบทันทีที่เข้ารหัสลับ Cryptocat สำหรับวิธีการเข้ารหัสลับของ Mega ในการเข้ารหัสลับ

หากเซิร์ฟเวอร์ของ Mega ถูกบุกรุกก็จะ นอกจากนี้ยังมีความเป็นไปได้ที่ผู้บุกรุกจะได้รับการแก้ไข JavaScript ที่เป็นอันตรายขึ้นกล่าวโดย Nadim Kobeissi ผู้พัฒนาโปรแกรมข้อความโต้ตอบแบบทันทีที่เข้ารหัสลับ Cryptocat "ทุกครั้งที่คุณเปิดเว็บไซต์รหัสการเข้ารหัสจะถูกส่งมาตั้งแต่เริ่มต้น" Kobeissi กล่าว "ถ้าวันนึงฉันตัดสินใจว่าต้องการปิดใช้งานการเข้ารหัสทั้งหมดสำหรับคุณ ฉันสามารถใช้ชื่อผู้ใช้รหัสอื่นของคุณที่ไม่ได้เข้ารหัสอะไรและแทนที่จะขโมยคีย์การเข้ารหัสลับของคุณ "

Ortmann โต้แย้งว่าผู้ใช้ถูกบังคับให้ไว้วางใจผู้ให้บริการของตนเสมอเมื่อดาวน์โหลดและเรียกใช้โค้ด เนื่องจากจาวาสคริปต์ของ Mega ถูกส่งไปยังเบราว์เซอร์ผู้คนจะสามารถวิเคราะห์โค้ดเป็นประจำและตรวจสอบว่าเชื่อถือได้หรือไม่ ถ้า Mega หลอกลวงด้วย JavaScript "จะสามารถตรวจจับได้" Ortmann กล่าวว่า

Marlinspike กล่าวว่าวิธีที่ปลอดภัยยิ่งกว่านั้นคือ Mega จะใช้นามสกุลเบราว์เซอร์ที่ลงนามเพื่อเข้ารหัสข้อมูลซึ่งจะป้องกันการปลอมแปลงโดยผู้บุกรุก อีกทางเลือกหนึ่งคือลูกค้าที่ติดตั้งซอฟต์แวร์จะทำเช่นนั้นได้โดยไม่ทำให้ผู้ใช้เกิดความไม่ปลอดภัยของ SSL

Marlinspike กล่าวว่าเขาคิดว่าผู้ใช้ Mega ส่วนใหญ่ไม่สนใจเรื่องความปลอดภัยมากนักเนื่องจากพวกเขาสนใจ การแชร์ไฟล์. เนื่องจากเมกะจะเห็นข้อมูลที่เข้ารหัสบนเซิร์ฟเวอร์ของตนการตั้งค่านี้ดูเหมือนจะเป็นการให้อภัยผู้ก่อตั้งไซต์จากปัญหาการละเมิดลิขสิทธิ์ Megaupload

"ทุกเรื่องเป็นเรื่องที่ผู้ดำเนินการของ Mega สามารถอ้างว่าไม่มีความสามารถทางเทคนิค ตรวจสอบเนื้อหาบนเซิร์ฟเวอร์ว่าด้วยการละเมิดลิขสิทธิ์ "Marlinspike กล่าวว่า

เช่นเดียวกับบริการออนไลน์ใหม่ ๆ รหัส Mega ก็กำลังถูก prodded เมื่อวันอาทิตย์ที่ผ่านมาพบว่าไซต์ดังกล่าวมีข้อผิดพลาดในการเขียนสคริปต์ข้ามไซต์ซึ่งในบางกรณีอาจทำให้ผู้โจมตีสามารถขโมยคุกกี้ของผู้ใช้ซึ่งจะช่วยให้มีการครอบครองบัญชีของเหยื่อได้อย่างน้อยชั่วคราว ได้รับการแก้ไขอย่างรวดเร็ว

"ปัญหา XSS ได้รับการแก้ไขภายในหนึ่งชั่วโมง" Bram van der Kolk หัวหน้าโปรแกรมเมอร์ของ Mega กล่าวใน Twitter เมื่อวันอาทิตย์ที่ผ่านมา "จุดที่ถูกต้องมากผิดพลาดน่าอาย"

Ortmann อธิบายเพิ่มเติมว่า "ปัญหาการเขียนสคริปต์ข้ามเว็บไซต์เป็นเรื่องที่น่าอายมาก ที่ไม่ควรเกิดขึ้น นี่เป็นเพราะจริงๆแล้ว Bram และฉันเป็นมือใหม่ JavaScript ที่สมบูรณ์และไม่เคยคาดหวังพฤติกรรมนี้จากเบราว์เซอร์ เราได้พูดถึงเรื่องนี้จริง แต่เราไม่ได้ทดสอบมันเลยล่ะที่ทำให้เรารู้สึกอาย ซึ่งถูกแก้ไขหลังจากผ่านไป 30 นาทีหรือน้อยกว่าหนึ่งชั่วโมงหลังจากที่ได้มีการรายงานไปยังเรา "

เขากล่าวว่า Mega จะโพสต์รายละเอียดเพิ่มเติมในภายหลังในวันนี้ทางเว็บไซด์เกี่ยวกับประเด็นที่นักวิเคราะห์วิจารณ์เกี่ยวกับเรื่องความปลอดภัย