หนึ่งในผู้ให้บริการพื้นที่เก็บข้อมูลบนคลาวด์ที่ได้รับความนิยมมากที่สุดในโลก (เปิดในแท็บใหม่) มีช่องโหว่ร้ายแรงหลายจุดที่ทำให้ผู้คุกคามสามารถอ่านได้แม้กระทั่งไฟล์ที่เข้ารหัส (เปิดในแท็บใหม่) นักวิจัยค้นพบ
ทีมงานของ ETH Zurich ค้นพบช่องโหว่ XNUMX รายการในแพลตฟอร์ม Mega ที่เกี่ยวกับการขโมยและถอดรหัสคีย์ RSA (คีย์ส่วนตัวที่ใช้อัลกอริทึม RSA)
ทีมงานค้นพบข้อบกพร่องในช่วงปลายเดือนมีนาคมปีนี้และรายงานให้บริษัททราบ ในไม่ช้า Mega ได้ออกการแก้ไขและบรรเทาปัญหาสำหรับข้อบกพร่องบางอย่าง ในขณะที่การแก้ไขอื่น ๆ ยังคงดำเนินต่อไป แพตช์ดังกล่าวไม่ส่งผลกระทบต่อประสบการณ์ของผู้ใช้หรือต้องการให้ผู้ใช้เข้ารหัสข้อมูลที่เก็บไว้อีกครั้ง พวกเขายังไม่จำเป็นต้องเปลี่ยนรหัสผ่านหรือสร้างคีย์ใหม่
เหมาะสำหรับพนักงานที่ไม่พอใจ
แม้ว่าจะไม่มีการแก้ไขสำหรับข้อบกพร่องทั้งหมด แต่ก็เป็นข่าวร้ายอย่างแน่นอน แต่ข่าวดีก็คือ Mega ยังไม่เห็นใครใช้ประโยชน์จากพวกเขาในธรรมชาติ ยังไม่มีกำหนดชัดเจนว่าแพทช์ที่เหลือจะออกเมื่อไหร่
ในคำอธิบายวิดีโอเกี่ยวกับข้อบกพร่อง นักวิจัยกล่าวว่าการโจมตีนั้นขึ้นอยู่กับสมมติฐานของปัจจัยสำคัญที่เปรียบเทียบกัน และผู้โจมตีจะต้องพยายามเชื่อมต่ออย่างน้อย 512 ครั้งเพื่อเจาะจุดสิ้นสุด (เปิดในแท็บใหม่) นอกจากนี้ พวกเขายังจำเป็นต้องเข้าถึงเซิร์ฟเวอร์ของ Mega ซึ่งหมายความว่าสำหรับภัยคุกคามจากภายนอก ช่องโหว่จะไม่สามารถทำงานได้อย่างแน่นอน
อย่างไรก็ตาม สำหรับคนวงในหรือพนักงานที่ไม่พอใจ มันเป็นเรื่องที่แตกต่างอย่างสิ้นเชิง
"Ver cómo los atajos de diseño criptográfico aparentemente inofensivos tomados hace casi una década fracasan en tres de las mentes más brillantes de la industria es a la vez escalofriante e intelectualmente fascinante", dijo Mega en un comunicado.
"El umbral de explotabilidad muy alto, a pesar de la amplia gama de vulnerabilidades criptográficas identificadas, proporciona cierto alivio".
คุณสามารถดูรายละเอียดข้อบกพร่องและมาตรการตอบโต้ของ MEGA ได้ที่ลิงค์นี้ (เปิดในแท็บใหม่)
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)