Problema de seguridad en Mega puede permitir el robo de cuentas

Escrito por Hugo Gómez
Seguridad
5

Un grave problema de seguridad en Mega puede permitir a un hacker el robo de contraseñas de cuentas del servicio de alojamiento. Este agujero ha sido descubierto por el investigador Steve Thomas, el cual además ha creado una herramienta denominada MegaCracker, que permite explotar esta vulnerabilidad y acceder a las contraseñas de los usuarios. A continuación os ofrecemos más detalles de cómo se pueden robar las cuentas de Mega.

Gracias a una sencilla herramienta que pone en entredicho la seguridad de Mega, el nuevo servicio de alojamiento de Kim Dotcom el fundador de Megaupload, todos los usuarios que se hayan registrado en el servicio pueden ver sus cuentas comprometidas y robadas en cuestión de minutos. Según detalla el investigador, el problema está en que cuando un usuario se registra en el servicio, tiene que recibir un código de confirmación y  un “hash” de la contraseña está incluido en este. Este hecho puede permitir a un hacker crackear los hashes incrustados en los enlaces de confirmación del correo electrónico enviado por Mega y obtener acceso total a la cuenta en el cyberlocker. Para lograr esto como es lógico, el atacante tiene que conseguir interceptar el correo electrónico.

Utilizar la herramienta MegaCracker no puede ser más sencillo, ya que basta con abrir el símbolo del sistema, seguir al pie de la letra las instrucciones contenidas en el archivo readme.txt y pegar en la cadena de hash de un correo electrónico de confirmación.

Además este experto en seguridad y criptografía ha desvelado que el enlace de confirmación contiene la siguiente información:

– Cifrado de clave maestra (16 bytes).

– El hash de la contraseña (16 bytes).

– Un campo desconocido (15 bytes).

–  La dirección de correo electrónico, nombre y otro campo desconocido (8 bytes).

Por si fuera poco este problema que puede acabar con el robo de cuentas de Mega, algunos investigadores han informado que otros problemas de seguridad como cross site scripting (XSS) y el uso de un generador de números aleatorios.

Recordemos que Mega está disponible desde el pasado fin de semana, prometiendo ser mucho más seguro y siendo un éxito sin precedentes en internet.

Fuente: BetaNews

 

 

Compártelo. ¡Gracias!
Continúa leyendo

Comentarios

5 comentarios
  1. yo 23 Ene, 13 11:37

    Vosotros oís campanas pero no sabéis por donde:

    “no puede ser más sencillo, ya que basta con abrir el símbolo del
    sistema, seguir al pie de la letra las instrucciones contenidas en el
    archivo readme.txt”

    Sí, claro, tan “sencillo” como que antes tienes que interceptar el correo, porque megacracker no te ayuda con esto. [Of course this means a hacker (or potentially the security services)
    would need to intercept an email before the password can be cracked, ]

    “y pegar en la cadena de hash de un correo electrónico de confirmación.”

    Dejad de usar el traductor de google. Lo que dice es que una vez interceptado el correo (búscate la vida para hacerlo): “para usar la herramienta tienes que abrir la línea de comandos, seguir las instrucciones del archivo readme.txt y pegar, cuando se requiera, la cadena que viene en el enlace del mail confirmación.”

    “y el uso de un generador de números aleatorios.”

    El problema no es que usen un generador de números pseudoaleatorios porque esto es obligatorio usarlo, el problema es que el generador de números pseudoaleatorios es predecible.

    Más información: http://www.teknofilo.com/expertos-en-criptografia-encuentran-graves-agujeros-de-seguridad-en-el-nuevo-mega-de-kim-dotcom/#sthash.stKkDD5n.dpbs

    0
    1. yo 23 Ene, 13 11:49

      P.D: el problema no es que consigan robarte la cuenta de mega porque interceptando tu correo pueden robarte cualquier otra cuenta (basta con solicitar un email de recuperación de contraseña, que el servicio X (p.ej. mediafire) envíe el mail con el enlace para recuperar la contraseña, tú lo interceptes y resetees la contraseña).

      El problema es que a partir del enlace consiguen la contraseña que usaste en mega y como seas de los que repiten contraseña hasta en el pin de la tarjeta de crédito… la jodiste.

      0
  2. Ur 23 Ene, 13 23:35

    No se ustedes pero MEGA es una porqueria. Subi un archivo FLAC de 30MB y no puedo descargarlo. Siempre sale la leyenda “intentelo mas tarde…”. Vaya basura.

    0
  3. pepe 24 Ene, 13 4:59

    Recien arranco, hay que darle un par de meses para que hagan ajustes.
    Tampoco seamos ingenuos. Un sitio que es esperado por millones de usuarios, va a tener inconvenientes al principio.
    O acaso otros grandes de la tecnologia, no tuvieron sus desastres??? Recuerden Microsoft
    PACIENCIA a esperar un poco mas…..

    0
  4. zamantha 02 May, 14 21:38

    muy interesante articulo , ay que estar prevenidos he visto una nota importante en http://www.avances-tecnologicos.net/ sobre que probablemente pueda tener una solucion actualizando tu antivirus

    0