Sete vulnerabilidades são encontradas no site Mega, de Kim Dotcom
O Mega blog afirmou que sete vulnerabilidades foram encontradas no site Mega, lançado no mês passado. Durante a festa de lançamento, o hacker Kim Dotcom afirmou que pagaria até 10 mil euros para quem quebrasse a segurança de seu site. Parece que não demorou muito para aparecerem os defeitos dentro do Mega.
Mega foi o site de compartilhamento de arquivos criado por Kim Dotcom (Divulgação)
As vulnerabilidades foram classificadas por gravidade de seus erros. Você confere, abaixo, uma tradução do inglês para o português feita pelo TechTudo dos possíveis problemas de segurança do site Mega elencados no próprio blog do site.
Gravidade classe VI: Falhas de design criptográfico fundamentais;
Gravidade classe V: Execução de código remoto no núcleo servidores Mega (API/DB/clusters de raiz) ou brechas no controle de acesso principal;
Gravidade classe IV: Falhas de design criptográfico que podem ser invadidas somente após comprometer infraestrutura de servidor (execução ao vivo ou post-mortem);
Gravidade classe III: Entrada de um código remoto que invade navegadores de clientes (chamado cross-site scripting);
Gravidade classe II: Scripts cross-site que podem invadir somente após comprometer o cluster de servidor API ou após um ataque bem sucedido tipo “man-in-the-middle” (por exemplo, através da emissão de uma manipulação de certificado falso SSL + DNS / BGP)
Gravidade classe I: Todo impacto menor ou os cenários puramente teóricos.
Gravidade classe V: Execução de código remoto no núcleo servidores Mega (API/DB/clusters de raiz) ou brechas no controle de acesso principal;
Gravidade classe IV: Falhas de design criptográfico que podem ser invadidas somente após comprometer infraestrutura de servidor (execução ao vivo ou post-mortem);
Gravidade classe III: Entrada de um código remoto que invade navegadores de clientes (chamado cross-site scripting);
Gravidade classe II: Scripts cross-site que podem invadir somente após comprometer o cluster de servidor API ou após um ataque bem sucedido tipo “man-in-the-middle” (por exemplo, através da emissão de uma manipulação de certificado falso SSL + DNS / BGP)
Gravidade classe I: Todo impacto menor ou os cenários puramente teóricos.
O site de Kim Dotcom apresentou uma série de possibilidades de ataque de crackers, mas talvez ainda seja cedo para concluir que seu serviço é ou não vulnerável. Sua equipe está elencando erros detectados e erros possíveis, além de desenvolver soluções em algumas horas. Mesmo assim, fica a dúvida se o Mega é realmente tão seguro quanto prega seu fundador.Dessas seis classes de erros, o Mega encontrou sete vulnerabilidades registradas em seu servidor. Os problemas de classe V e VI não foram detectados. O erro de gravidade classe IV detectou um possível ataque ”man-in-the-middle”. Três erros de classe IIII foram encontrados, envolvendo XSS (cross-script, script que afeta mais de um site) e corrigidos em horas. O navegador Google Chrome pareceu imune à vulnerabilidade. Um erro de classe II foi encontrado, envolvendo XSS do servidor API até a página de download. Mais dois erros de classe I foram encontrados, com o header do Mega desprotegido no protocolo HTTP e risco de invasão.
Via ArsTechnica e Mega blog
fonte tech tudo
0 comentários