Сегодня 28 марта 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Шифрование файлообменника Mega оказалось не таким стойким, как утверждали разработчики — файлы можно взломать и даже подменить

Почти 10 лет существует основанный Кимом Доткомом (Kim Dotcom) облачный сервис хранения данных Mega. По заявлениям авторов проекта, сервис использует сквозное шифрование данных пользователей, благодаря чему даже сотрудники компании не имеют доступа к ним. Однако недавнее исследование показало, что это не так.

 Источник изображения: Aurich Lawson / Getty Images

Источник изображения: Aurich Lawson / Getty Images

За время существования пользовательская база Mega выросла до 250 млн человек, а объём хранящейся информации составляет более 1000 петабайт. Ключевая особенность, способствовавшая росту площадки, заключается в том, что сервис шифрует данные пользователя, чего не делают другие файлообменники вроде Dropbox. «Пока вы следите за тем, чтобы ваш пароль был достаточно надёжным и уникальным, никто и никогда не сможет получить доступ к вашим данным на Mega даже в исключительном случае, если вся инфраструктура Mega будет захвачена», — говорится в сообщении сервиса.

На деле же оказалось, что данные пользователей не так хорошо защищены. Опубликованное на этой неделе исследование указывает на то, что Mega или организация, контролирующая инфраструктуру сервиса, может получить доступ к данным пользователей, хранящимся на серверах компании. В сообщении сказано, что архитектура, которую сервис использует для шифрования файлов, изобилует серьёзными криптографическими недостатками, эксплуатация которых позволяет провести атаку для полного восстановления ключа шифрования. Это означает, что при наличии доступа к инфраструктуре сервиса злоумышленник может расшифровать файлы пользователей или даже подменить их вредоносными копиями, которые внешне не будут отличаться от оригиналов.

«Мы показали, что система Mega не защищает пользователей от вредоносного воздействия на стороне сервера, и представили пять разных атак, используя которые вместе можно нарушить конфиденциальность пользовательских файлов. Кроме того, целостность пользовательских данных нарушается до такой степени, что злоумышленник может вставить вредоносные файлы, которые пройдут все проверки подлинности на стороне клиента», — говорится в сообщении исследователей.

Согласно имеющимся данным, исследователи уведомили Mega о выявленных недостатках безопасности в марте этого года. На этой неделе сервис начал распространять обновление, чтобы закрыть уязвимости, но, по мнению авторов исследования, выпущенный компанией патч не способен решить всех проблем.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Аппаратные требования больших языковых моделей ИИ сокращаются вдвое каждые восемь месяцев 55 мин.
Sega подтвердила массовые увольнения и продажу Relic Entertainment — разработчики Company of Heroes и Warhammer 40,000: Dawn of War вновь станут независимыми 2 ч.
Hellgate: London спустя 17 лет получит продолжение на Unreal Engine 5 — первые подробности Hellgate: Redemption 3 ч.
Take-Two Interactive купит Gearbox у Embracer Group за $460 миллионов — подтверждена новая Borderlands 3 ч.
Amazon.com инвестирует в ИИ-стартап Anthropic дополнительно $2,75 млрд 14 ч.
Хакеры нашли, как завалить iPhone запросами о сбросе пароля, и стали пользоваться этим для фишинга 15 ч.
Новый бенчмарк — новый рекорд: NVIDIA подтвердила лидерские позиции в MLPerf Inference 16 ч.
Sony подтвердила линейку игр PS Plus на апрель — магический шутер, экшен-стратегия в мире Minecraft и роглайк в стиле Dead Cells 16 ч.
В Великобритании собрались подвести законодательную базу под мемы про криптовалюты 16 ч.
Google представила новые ИИ-функции в картах и поиске — они помогут путешественникам 16 ч.
В Сеть утекли фотографии белой Xbox Series X без дисковода 2 ч.
По итогам текущего года тайваньские контрактные производители чипов увеличат выручку на 20 % 2 ч.
С 1 апреля порог беспошлинного ввоза товаров снизится до €200 — электроника подорожает на 15–20 % 2 ч.
Госдума приняла закон о свободном доступе интернет-провайдеров в многоквартирные дома 3 ч.
В этом году доля электромобилей китайского производства на рынке Европы превысит 25 % 3 ч.
Эксперты: создать российскую Xbox непросто, но выпустить аналог Steam Deck — решаемая задача 3 ч.
Первый электромобиль Xiaomi за год найдёт не более 50 000 покупателей 4 ч.
Цепляющаяся за жизнь Fisker снизила цены на свои электромобили на величину до 39 % 8 ч.
Процессор Qualcomm Snapdragon X Elite обеспечил в играх Baldur’s Gate 3 и Control выше 30 кадров в секунду 10 ч.
Atos планирует достичь соглашения о реструктуризации долгов к июлю 12 ч.