Bem-vindo: Qua, 27 de Novembro 2024, 21:23 Pesquisa avançada

Sete vulnerabilidades são encontradas no site Mega

Secção dedicada a Noticias que não estejam diretamente relacionadas com Software OpenSource! Partilhe aqui notícias sobre Internet, Curiosidades, Guiness, Desporto, Astronomia... resumidamente de tudo! :)
Responder

Sete vulnerabilidades são encontradas no site Mega

Mensagempor nuno_nunes » Qui, 14 de Fevereiro 2013, 23:28

Sete vulnerabilidades são encontradas no site Mega, de Kim Dotcom



O Mega blog afirmou que sete vulnerabilidades foram encontradas no site Mega, lançado no mês passado. Durante a festa de lançamento, o hacker Kim Dotcom afirmou que pagaria até 10 mil euros para quem quebrasse a segurança de seu site. Parece que não demorou muito para aparecerem os defeitos dentro do Mega.


Mega foi o site de compartilhamento de arquivos criado por Kim Dotcom (Divulgação)


As vulnerabilidades foram classificadas por gravidade de seus erros. Você confere, abaixo, uma tradução do inglês para o português feita pelo TechTudo dos possíveis problemas de segurança do site Mega elencados no próprio blog do site.

  • Gravidade classe VI: Falhas de design criptográfico fundamentais;
  • Gravidade classe V: Execução de código remoto no núcleo servidores Mega (API/DB/clusters de raiz) ou brechas no controle de acesso principal;
  • Gravidade classe IV: Falhas de design criptográfico que podem ser invadidas somente após comprometer infraestrutura de servidor (execução ao vivo ou post-mortem);
  • Gravidade classe III: Entrada de um código remoto que invade navegadores de clientes (chamado cross-site scripting);
  • Gravidade classe II: Scripts cross-site que podem invadir somente após comprometer o cluster de servidor API ou após um ataque bem sucedido tipo “man-in-the-middle” (por exemplo, através da emissão de uma manipulação de certificado falso SSL + DNS / BGP)
  • Gravidade classe I: Todo impacto menor ou os cenários puramente teóricos.

Dessas seis classes de erros, o Mega encontrou sete vulnerabilidades registradas em seu servidor. Os problemas de classe V e VI não foram detectados. O erro de gravidade classe IV detectou um possível ataque ”man-in-the-middle”. Três erros de classe IIII foram encontrados, envolvendo XSS (cross-script, script que afeta mais de um site) e corrigidos em horas. O navegador Google Chrome pareceu imune à vulnerabilidade. Um erro de classe II foi encontrado, envolvendo XSS do servidor API até a página de download. Mais dois erros de classe I foram encontrados, com o header do Mega desprotegido no protocolo HTTP e risco de invasão.

O site de Kim Dotcom apresentou uma série de possibilidades de ataque de crackers, mas talvez ainda seja cedo para concluir que seu serviço é ou não vulnerável. Sua equipe está elencando erros detectados e erros possíveis, além de desenvolver soluções em algumas horas. Mesmo assim, fica a dúvida se o Mega é realmente tão seguro quanto prega seu fundador.

E você? Utiliza o Mega? Acha que está seguro no site?

Via ArsTechnica e Mega blog

Fonte: Techtudo

Avatar do usuário
nuno_nunes
 
Mensagens: 3932
Registrado em: 28 Maio, 2012
Localização: Pampilhosa da Serra - Portugal
Voltar ao topo
Responder

Voltar para Notícias Gerais

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 39 visitantes

 

Quem está online

No total, há 39 usuários online :: 0 usuários registrados, nenhum invisível, 0 bots e 39 visitantes (Esta informação é baseada em usuários ativos nos últimos 15 minutos)
O recorde de usuários online foi de 1329 em Seg, 20 de Abril 2020, 1:54

Usuários navegando neste fórum: Nenhum usuário registrado e 39 visitantes

Designed by Ricardo Correia and Cláudio Novais