Las claves de Mega pueden ser extraídas localmente

Escrito por Rubén Velasco
Seguridad
0

El 19 de enero de 2013, Kim Dotcom lanzó Mega, el sustituto del desaparecido Megaupload, como una alternativa más a los servicios de almacenamiento en la nube que ya existían hasta entonces. Las principales características que diferenciaban a Mega de sus competidores eran la capacidad de almacenamiento que ofrecían (50Gb de forma gratuita) y un cifrado que aseguraban que era irrompible y que permitía a nuestros archivos estar almacenados de forma segura.

Pese al cifrado militar que ofrece el servicio, Mega lanzó un programa de recompensas para todo aquel que detectara una vulnerabilidad en su plataforma, por lo que ha estado en el punto de mira de hackers con el fin de conseguir las recompensas económicas lo antes posible, aunque no hubo éxito en las búsquedas. Mega parecía una plataforma totalmente segura y privada, hasta ahora.

Investigadores privados han descubierto que, a través de un JavaScript se pueden obtener las claves de cualquier archivo alojado en Mega de forma local. Cualquier persona con acceso local a un ordenador, ejecutando determinado parámetro podría conocer y extraer nuestra clave de Mega y, con ello, usarla para descifrar los archivos que tenemos subidos a la nube de Mega y tener completo acceso a ellos.

Esta vulnerabilidad puede ser igualmente utilizada tanto por un pirata informático como por una agencia gubernamental como la NSA. Esto puede suponer que, aunque desde Mega afirmaron que ellos no tienen en ningún momento acceso a las claves, en caso de que un juez lo solicitara se podrían recuperar fácilmente y poder así acceder a los archivos de los usuarios.

Esta vulnerabilidad podría ser utilizada por piratas informáticos introduciéndola en una extensión maliciosa del navegador o en un troyano que se encargara de recopilar las webs que la víctima visita y recopilara las claves de Mega enviándolas a un servidor externo donde se almacenen.

De momento ya existe un bookmarklet que nos permite, arrastrando dicho JavaScript a la barra de marcadores y ejecutándolo en nuestra sesión de Mega ver nuestra clave.

mega_pwn_clave_ruvelro_foto_1

¿Eres usuario de Mega? ¿Crees que Mega es tan segura y privada como afirmaban en sus inicios?


Noticias relacionadas