Облачное хранилище MEGA не является конфиденциальным
❗Доктора информационных наук и прикладной криптографии из института ETH Zurich Матильда Бэкендал, Миро Халлер и Кенни Патерсон сомневаются в конфиденциальности хранимых данных в облачном хранилище MEGA.
"MEGA - ведущая платформа облачного хранения данных с более чем 250 млн. пользователей и 1000 ПТБ данных . Мы провели анализ и считаем, что система MEGA не защищает своих пользователей от попадания его его файлов третьим лицам, и представляем вашему вниманию пять различных атак, которые позволяют получить доступ к данным MEGA. Кроме того, потенциальные злоумышленники могут вставить вредоносные файлы в MEGA по своему выбору, которые пройдут все проверки. Мы провели тестовые версии всех атак, чтобы продемонстрировать их практичность и возможность потенциального применения " - пишут исследователи на своей странице.
Что может MEGA❓
1️⃣ Восстановить закрытый ключ RSA пользователя, подделав 512 попыток входа в систему.
2️⃣ Расшифровывать ключи узлов, и использовать их для расшифровки всех пользовательских сообщений и файлов.
3️⃣ Вставлять в файловое хранилище пользователя копии вредоносных файлов, которые неотличимы от ранее загруженных
5️⃣ MEGA может расшифровывать зашифрованные тексты, используя дорогостоящую атаку padding oracle attack
ВАЖНО: MEGA признала факты и подтвердила, что система уязвима и нуждается в исправлении. Исследователи уже получили награду за исправление ошибок, однако они посетовали обратить тщательное внимание на наличие ещё не найденных уязвимостей.
https://arstechnica.com/information-technology/2022/06/mega-says-it-cant-decrypt-your-files-new-poc-exploit-shows-otherwise/3/
