Mega promete melhorias em seu sistema para evitar problemas com segurança

O Mega, novo serviço de compartilhamento do criador do Megaupload Kim DotCom, estreou no começo desta semana e, depois de uma série de instabilidades e críticas acerca da sua segurança, alguns representantes do site se pronunciaram e prometeram melhorias.

Especialistas em segurança detectaram alguns problemas com a arquitetura do site e seus recursos criptográficos, algo que os representantes da empresa confirmaram em uma publicação em seu blog oficial. No entanto, o Mega afirma que todos os usuários foram notificados sobre possíveis riscos neste primeiro momento através da página de Perguntas Frequentes (FAQ) do site.

As chaves criptografadas, geradas no momento em que o usuário faz sua inscrição no Mega, são também utilizadas para criptografar os arquivos enviados e são protegidas pela senha do usuário, armazenadas apenas nos servidores do Mega. E como não existe nenhum sistema para a recuperação dessas chaves sem a senha, os usuários poderão perdê-las se, por acaso, esquecerem as palavras-passe.

"Isso está correto, a única chave que o Mega requer para ser armazenado no lado do usuário é a senha de login, que está armazenada na memória do usuário", afirmou a empresa em seu blog. "Essa senha libera a chave-mestra, que por sua vez abre o arquivo/pasta/compartilhamento/chaves privadas".

Reprodução: TechRadar

Os representantes do Mega afirmaram que, em um futuro próximo, será adicionado o recurso que permite a recuperação de senhas e de arquivos, além de permitir que os usuários alterem suas senhas e importem chaves de arquivos pré-exportados.

Além disso, a empresa respondeu aos questionamentos dos especialistas em segurança sobre a geração das chaves-mestra criptografadas a partir do navegador, utilizando a função JavaScript.math.random - eles alertaram que a função utilizada pelo Mega não é muito confiável na geração de números aleatórios, fazendo com que as chaves sejam consideradas fracas do ponto de vista da criptografia. "Iremos, no entanto, implementar um recurso que permite ao usuário adicionar entropia (aleatoriedade) manualmente, tanto quanto gostaria, antes de prosseguir para gerar a chave", garantiu a empresa.

O Mega também explicou como funciona o mecanismo de verificação JavaScript do site, afirmando que o servidor HTTPS principal é usado para verificar a integridade dos códigos JavaScript em servidores secundários. "Isso basicamente nos permite hospedar o conteúdo extremamente sigiloso em um grande número de servidores geograficamente distintos, sem se preocupar com segurança", explicou o Mega.