Mega | Especialistas quebram segurança e conseguem ler dados dos usuários

Mega | Especialistas quebram segurança e conseguem ler dados dos usuários

Por Felipe Demartini | Editado por Claudio Yuge | 22 de Junho de 2022 às 13h20
Mega

Um estudo realizado por pesquisadores do Instituto Federal de Tecnologia de Zurique, na Suíça, colocou em xeque a principal alegação do serviço de hospedagem Mega, que afirma não ser capaz de ler os dados enviados pelos usuários. Os especialistas foram capazes de quebrar a criptografia de ponta a ponta da plataforma, afirmando que a arquitetura dela é cheia de falhas que permitem a qualquer administrador recuperar senhas e acessar os arquivos na nuvem.

Mais do que isso, a prova de conceito demonstrou que um atacante com os privilégios corretos não somente seria capaz de recuperar a senha de um utilizador, mas também hospedar arquivos sem autorização, sem que fosse possível distinguir essa ação de um upload legítimo. A exploração funcionaria principalmente contra usuários constantes, com mais de 512 logins registrados — quanto mais, melhor, inclusive, já que o ataque se torna mais fácil na medida em que as entradas se acumulam.

O estudo da universidade apresentou cinco vetores distintos de ataques contra a infraestrutura do Mega, todos resultando em um comprometimento de contas e da confidencialidade prometida pela plataforma. O trabalho foi publicado nesta terça-feira (21), mesma data em que a empresa de hospedagem aplicou atualizações para resolver os problemas, que foram apresentados pela equipe de pesquisadores em março deste ano.

Estudo apontou que Mega seria capaz de recuperar senhas de acesso a contas, enquanto aberturas permitiriam até o upload em nome dos usuários; atualização foi liberada nesta semana, mas pesquisadores afirmam não ser suficiente (Imagem: Divulgação/Mega)

Em comunicado oficial, o serviço disse ter aplicado diferentes mitigações e indicou que usuários de clientes de acesso desenvolvidos por terceiros, como o Rclone, estavam mais vulneráveis, uma vez que sessões persistentes, como as disponíveis via navegador para a maior parte dos usuários, não contam como novos logins. Mesmo para estes, afirmou, são poucos os casos em que a exploração efetivamente seria possível, enquanto não existem indícios de ataques.

Atualização do Mega traz correção parcial, afirmam especialistas

Os pesquisadores responsáveis pelo estudo também afirmam que os updates aplicados pelo serviço de hospedagem não resolvem todos os problemas apontados. Enquanto não é mais possível recuperar senhas, ainda existe a falta de checagem de integridade no upload dos arquivos e outros problemas sistêmicos que permitiriam a plantação de arquivos. Além disso, eles apontam que novas vias de exploração podem ter sido abertas, não indicando a atualização como uma solução.

No comunicado sobre a correção, que também traz elementos técnicos e indicadores, o Mega afirma que um golpe dessa categoria seria extremamente difícil mesmo antes das melhorias, uma vez que um atacante teria que obter acesso ao “coração da infraestrutura do servidor”. Outra hipótese seria um golpe do tipo man in the middle, com a interceptação de conexões que são protegidas por criptografia e, sendo assim, indecifráveis mesmo que captadas por terceiros.

O comentário oficial, entretanto, não aborda a principal questão levantada por estudo, que também foi usada pelo antigo dono do Mega, Kim Dotcom, ao criticar a plataforma mais uma vez. A ideia é que, diante da possibilidade de recuperação de senhas e chaves de criptografia por terceiros, a segurança e a integridade da própria plataforma foram colocadas à prova, demonstrando, para estes, que a promessa de confidencialidade não é tão forte quanto alegada.

Agora vocês sabem que o Mega não é uma companhia de privacidade de verdade. É importante entender que aqueles que controlam o código podem criar portas de entrada para derrotar a criptografia. Eu conheço os desenvolvedores. Eles não têm moralidade. Recomendo não usar o Mega para arquivos sensíveis.

Para quem não se lembra, Dotcom foi o fundador do Megaupload, que já foi um dos maiores serviços de compartilhamento de arquivos do mundo até ser fechado por autoridades americanas sob alegação de quebra de direitos autorais. Foi ele, inclusive, quem fundou o Mega em 2013, com o ideal de privacidade, deixando o serviço dois anos depois afirmando que a administração não cumpriria com tais promessas. Enquanto isso, ele aguarda uma possível extradição de seu país natal, a Nova Zelândia, para os EUA, onde pode responder pelos crimes de pirataria.

Foi inclusive sob acusações desse tipo que o Mega chegou a ser bloqueado no Brasil, em setembro de 2019. Na ocasião, uma ação judicial movida pela ABTA (Associação Brasileira de Televisão por Assinatura) citou a empresa e outros nove sites de hospedagem e streaming, que estariam sendo usados para o compartilhamento irregular de conteúdos. Diante da não remoção de páginas e arquivos indicados pelos reclamantes, a plataforma ficou cerca de 15 dias inacessível para a maioria dos usuários nacionais de internet.

Stephen Hall, CEO do Mega, afirmou que não pretende mudar a alegação de que a plataforma de hospedagem é a mais segura e respeitosa à privacidade do mercado. Segundo ele, um ataque como o citado pelos pesquisadores foi “potencial, por um curto período e em circunstâncias limitadas, contra poucos usuários”. Ele também reforçou, em comentário à imprensa internacional, que a questão está solucionada e que, se houve perigo, ele não existe mais.

Fonte: ETH Zurich, Mega

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.