Buscar

2013/01/26

La herramienta MegaCracker revela debilidades en la seguridad de Mega

Una herramienta de cracking permite comprobar la debilidad que existe en la seguridad de la nueva plataforma de Kim Dotcom, Mega. Al parecer, el fallo se basa en el envío de hashes de contraseñas en un texto sin formato a través de correo electrónico.
Mega vio la luz el pasado 19 de enero. El servicio de almacenamiento creado por Kim Dotcom ha sido uno de los lanzamientos más esperados de este 2013 y en su primer día de vida consiguió más de un millón de registros. Sin embargo, durante las primeras horas Mega tuvo fallos en su funcionamiento por la excesiva demanda.
Estos errores no han sido los únicos encontrados en la plataforma. Una herramienta de cracking ha averiguado que Mega no es tan seguro y fiable como parece. Según Ars Technica, un investigador ha descubierto que existen brechas en la seguridad en el momento en el que el mensaje de confirmación de registro se envía a los usuarios.

Estos mensajes podrían ser crackeados revelando así las contraseñas y permitiendo el control de las cuentas de los usuarios. El investigador, Steve "Sc000bz" Thomas, descubrió esta debilidad a través de MegaCracker, un programa que permite extraer contraseñas desde el enlace que figura en el email de confirmación de registro.

El email de verificación es enviado a todos los nuevos usuarios y es obligatorio hacer clic sobre el enlace que contiene para poder empezar a utilizar el servicio de almacenamiento en la nube creado por Dotcom. A parte de contener el hash de una contraseña, el email contiene datos confidenciales, como la llave maestra encriptada utilizada para descifrar y desencriptar archivos almacenados en la cuenta.

MegaCracker recuerda a los usuarios a través de su web que escojan claves difíciles. Por su parte, este servicio funciona aislando el hash de las contraseñas y proporcionando una plataforma que las descifra llegando a adivinar desde 120 hasta 600 contraseñas por segundo. Según Steve Thomas, no es muy usual la inclusión de una clave hash y una llave maestra encriptada en los emails de confirmación. De hecho, en páginas como Netflix, Amazon y Twitter se envían estos tipos de emails con enlaces que contienen un valor aleatorio que solo el receptor y el servidor conocen.

Por su parte, Kim Dotcom, que ha agradecido la enorme acogida que ha tenido Mega, se ha hecho eco del debate surgido en torno a los problemas de seguridad de su servicio y ha anunciado en Twitter que en breve lanzará un reto con una compensación económica para aquel que desarrolle la solución de seguridad más eficiente.

No hay comentarios: