Gracias a una sencilla herramienta que pone en entredicho la seguridad de Mega, el nuevo servicio de alojamiento de Kim Dotcom el fundador de Megaupload, todos los usuarios que se hayan registrado en el servicio pueden ver sus cuentas comprometidas y robadas en cuestión de minutos. Según detalla el investigador, el problema está en que cuando un usuario se registra en el servicio, tiene que recibir un código de confirmación y un “hash” de la contraseña está incluido en este. Este hecho puede permitir a un hacker crackear los hashes incrustados en los enlaces de confirmación del correo electrónico enviado por Mega y obtener acceso total a la cuenta en el cyberlocker. Para lograr esto como es lógico, el atacante tiene que conseguir interceptar el correo electrónico.
Utilizar la herramienta MegaCracker no puede ser más sencillo, ya que basta con abrir el símbolo del sistema, seguir al pie de la letra las instrucciones contenidas en el archivo readme.txt y pegar en la cadena de hash de un correo electrónico de confirmación.
Además este experto en seguridad y criptografía ha desvelado que el enlace de confirmación contiene la siguiente información:
- Cifrado de clave maestra (16 bytes).
- El hash de la contraseña (16 bytes).
- Un campo desconocido (15 bytes).
- La dirección de correo electrónico, nombre y otro campo desconocido (8 bytes).
Por si fuera poco este problema que puede acabar con el robo de cuentas de Mega, algunos investigadores han informado que otros problemas de seguridad como cross site scripting (XSS) y el uso de un generador de números aleatorios.
Recordemos que Mega está disponible desde el pasado fin de semana, prometiendo ser mucho más seguro y siendo un éxito sin precedentes en internet.
