Mega ตอบสนองต่อความกังวลเรื่องความปลอดภัย; สัญญาการเปลี่ยนแปลงบางอย่าง

ตัวแทนของผู้ให้บริการจัดเก็บไฟล์และแบ่งปันบริการ Mega ได้กล่าวถึงปัญหาบางอย่างที่นักวิทยาการด้านความปลอดภัยให้ความสนใจในช่วงไม่กี่วันที่ผ่านมาเกี่ยวกับสถาปัตยกรรมของไซต์และการใช้คุณลักษณะด้านการเข้ารหัสลับดังกล่าว

อินเทอร์เน็ตและผู้ถูกกล่าวหาว่าเป็นคนนอกกฎหมายดิจิตอลคิมดอทคอมเพิ่งเปิดตัวเมกะ (สั้นสำหรับ Mega Encrypted Global Access) พื้นที่เก็บข้อมูลฟรี Mega เป็นเพียงส่วนหนึ่งของสิ่งที่คอมแพ็คคอมและความหวังของทีมของเขาจะเป็นชุดของบริการเข้ารหัสออนไลน์จาก Mega Ltd. รวมทั้งอีเมลโทรศัพท์ด้วยเสียงการส่งข้อความโต้ตอบแบบทันทีและวิดีโอสตรีม

ในบล็อกโพสต์ที่เผยแพร่เมื่อวันอังคาร ความเสี่ยงด้านความปลอดภัยบางส่วนที่นักวิจัยชี้ให้เห็นว่าถูกต้อง แต่กล่าวว่าผู้ใช้บางคนได้รับทราบเกี่ยวกับคำถามเหล่านี้ผ่านหัวข้อ FAQ (คำถามที่พบบ่อย) ของเว็บไซต์ ในกรณีที่มีปัญหาอื่น ๆ พวกเขาสัญญาว่าจะปรับปรุงบางอย่าง

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

ตัวอย่างเช่นมีการชี้ให้เห็นว่าคีย์การเข้ารหัสที่สร้างโดยผู้ใช้ในช่วง sign- up และที่ใช้ในภายหลังเพื่อเข้ารหัสไฟล์ของพวกเขาจะถูกเข้ารหัสโดยใช้รหัสผ่านบัญชีและจะถูกเก็บไว้ในเซิร์ฟเวอร์ของ Mega เท่านั้น เนื่องจากไม่มีคุณลักษณะการกู้คืนรหัสผ่านผู้ใช้จะสูญเสียความสามารถในการถอดรหัสลับไฟล์หากลืมรหัสผ่านบางคนกล่าวว่า

"ถูกต้อง - กุญแจสำคัญที่ MEGA ต้องการให้จัดเก็บไว้ในฝั่งผู้ใช้คือ รหัสผ่านเข้าสู่ระบบในสมองของผู้ใช้ "เจ้าหน้าที่ Mega กล่าว "รหัสผ่านนี้จะปลดล็อกกุญแจหลักซึ่งจะเป็นการปลดล็อกไฟล์ / โฟลเดอร์ / หุ้น / คีย์ส่วนตัว"

อย่างไรก็ตามกลไกที่จะช่วยให้สามารถกู้ไฟล์ได้ในกรณีลืมรหัสผ่านจะถูกนำมาใช้ในอนาคตอันใกล้นี้, พวกเขาพูดว่า. ซึ่งจะรวมถึงตัวเลือกในการเปลี่ยนรหัสผ่านและนำเข้าคีย์ไฟล์ที่ส่งออกก่อนเพื่อกู้คืนไฟล์ที่เกี่ยวข้อง

นักวิจัยด้านความปลอดภัยยังตั้งข้อสังเกตด้วยว่าคีย์การเข้ารหัสหลักถูกสร้างขึ้นภายในเบราว์เซอร์เมื่อลงชื่อสมัครใช้โดยใช้คณิตศาสตร์ และเตือนว่าฟังก์ชันนี้ไม่ได้ผลดีในการสร้างตัวเลขสุ่มซึ่งหมายความว่าคีย์ผลอาจอ่อนแอจากมุมมองการเข้ารหัสลับ

ในการตอบสนองเจ้าหน้าที่ Mega กล่าวว่าเอนโทรปีแบบสุ่ม - จะถูกเพิ่มโดยใช้ข้อมูลที่เก็บรวบรวมจากเมาส์และคีย์บอร์ดของผู้ใช้ "เราจะเพิ่มคุณลักษณะที่ช่วยให้ผู้ใช้สามารถเพิ่มเอนโทรปีได้มากเท่าที่ตนเองเห็นสมควรก่อนที่จะดำเนินการสร้างคีย์" พวกเขากล่าวว่า

ตัวแทน Mega ได้ชี้แจงว่าระบบการตรวจสอบ JavaScript ของไซต์ทำงานอย่างไร, สังเกตว่าเซิร์ฟเวอร์ HTTPS หลักที่ใช้ใบรับรอง SSL ที่มีคีย์ 2048 บิตถูกใช้เพื่อตรวจสอบความสมบูรณ์ของรหัส JavaScript ที่รับจากเซิร์ฟเวอร์ HTTPS สำรองที่ใช้ใบรับรองที่มีคีย์ 1024 บิต นักวิจัยชื่อสตีฟโธมัสที่รู้จักกันในชื่อ "Sc00bz" พบว่าวันนี้เป็นวันอังคารที่ผ่านมา ลิงก์ที่รวมอยู่ในอีเมลยืนยันที่ส่งโดย Mega ในระหว่างขั้นตอนการลงทะเบียนบัญชีจะมีรหัสผ่านของผู้ใช้อยู่ด้วย

โทมัสเปิดตัวเครื่องมือที่เรียกว่า MegaCracker ซึ่งสามารถใช้เพื่อดึงข้อมูล hashes จากลิงก์ดังกล่าวและพยายามร้าวโดยใช้พจนานุกรมโจมตี

ความเห็นเกี่ยวกับการเปิดตัวของเครื่องมือ Mega เจ้าหน้าที่กล่าวว่า MegaCracker คือ "การเตือนที่ยอดเยี่ยมว่าอย่าใช้รหัสผ่านเดา / พจนานุกรมโดยเฉพาะไม่ได้หากรหัสผ่านของคุณทำหน้าที่เป็นคีย์การเข้ารหัสลับหลักสำหรับไฟล์ทั้งหมดที่คุณเก็บไว้ใน MEGA "

อย่างไรก็ตามพวกเขาไม่สามารถตอบคำถามเกี่ยวกับสาเหตุที่ลิงก์การยืนยันบัญชีที่ส่งทางอีเมลมีการใช้รหัสผ่านของผู้ใช้ในครั้งแรก เทคนิคทั่วไปที่ใช้โดยเว็บไซต์อื่น ๆ คือการสร้างโค้ดแบบสุ่มเฉพาะสำหรับลิงก์ยืนยัน

เพื่อป้องกันไม่ให้ผู้โจมตีที่มีศักยภาพได้รับรหัสผ่านแฮชในภายหลังผู้ใช้อาจจะลบอีเมลยืนยัน Mega หลังจากคลิกที่รวม เชื่อมโยงและตั้งค่าบัญชีของตน