Aurich Lawson | Getty Resimleri
Kim Dotcom’un Mega’yı kurmasından bu yana geçen on yılda, bulut depolama hizmeti 250 milyon kayıtlı kullanıcıyı bir araya getirdi ve 120 milyar dosya depoladı. 1000 petabayttan fazla depolama. Büyümeyi hızlandıran önemli bir satış noktası, hiçbir üst düzey Mega rakibin vermediği olağanüstü bir vaattir: Mega bile sakladığı verilerin şifresini çözemez.
Örneğin, şirketin ana sayfasında Mega, tekliflerini Dropbox ve Google Drive ile karşılaştıran bir resim gösteriyor. Mega’nın daha düşük fiyatlarına ek olarak, karşılaştırma, Mega’nın uçtan uca şifreleme sunduğunu, diğer ikisinin ise vermediğini vurguluyor.
Yıllar boyunca, şirket bunu dünyaya defalarca hatırlattı. sözde ayrım, ki bu belki de en iyi bu blog yazısında özetlenmiştir. İçinde şirket, “Şifrenizin yeterince güçlü ve benzersiz olduğundan emin olduğunuz sürece, hiç kimse MEGA’daki verilerinize erişemez. Olağanüstü ihtimal dışı olayda bile MEGA’nın tüm altyapısı ele geçirildi!” (vurgu eklenmiştir).
Üçüncü taraf gözden geçirenler, hizmeti tavsiye ederken Mega iddiayı kabul etmekten ve alıntı yapmaktan çok mutlu oldular.
On yıllık güvenceler reddedildi
Salı günü yayınlanan araştırma, Mega’nın veya Mega’nın altyapısı üzerinde kontrolü olan bir varlığın hizmette depolanan verilere erişemediği iddiasında hiçbir gerçek olmadığını gösteriyor. Yazarlar, Mega’nın dosyaları şifrelemek için kullandığı mimarinin, platformun kontrolüne sahip olan herkesin, yeterli sayıda oturum açtıktan sonra kullanıcılara tam bir anahtar kurtarma saldırısı gerçekleştirmesini önemsiz kılan temel şifreleme kusurlarıyla dolu olduğunu söylüyor. Bununla, kötü niyetli taraf, saklanan dosyaların şifresini çözebilir ve hatta bir hesaba suçlayıcı veya başka şekilde kötü amaçlı dosyalar yükleyebilir; bu dosyalar gerçekten yüklenen verilerden ayırt edilemez görünüyor.
Araştırmacılar bir web sitesinde, “MEGA’nın sisteminin, kullanıcılarını kötü niyetli bir sunucuya karşı korumadığını ve birlikte kullanıcı dosyalarının gizliliğinin tamamen tehlikeye atılmasına izin veren beş farklı saldırı sunduğunu gösteriyoruz” dedi. “Ayrıca, kullanıcı verilerinin bütünlüğü, bir saldırganın istemcinin tüm özgünlük kontrollerini geçen, kendi seçtiği kötü amaçlı dosyaları ekleyebileceği ölçüde zarar görür. Tüm saldırıların, pratikliklerini ve istismar edilebilirliklerini sergileyerek, kavram kanıtı sürümlerini oluşturduk. “
Araştırmacıların raporunu Mart ayında özel olarak aldıktan sonra, Salı günü Mega, saldırıları gerçekleştirmeyi zorlaştıran bir güncelleme yayınlamaya başladı. Ancak araştırmacılar, yamanın anahtar kurtarma saldırılarını engellemek için yalnızca “geçici” bir yol sağladığı ve anahtar yeniden kullanım sorununu, bütünlük denetimlerinin eksikliğini ve belirledikleri diğer sistemik sorunları düzeltmediği konusunda uyarıyorlar. Araştırmacıların kesin anahtar kurtarma saldırısı artık mümkün olmadığı için, araştırmada açıklanan diğer istismarlar da artık mümkün değil, ancak kapsamlı bir düzeltmenin olmaması onlar için bir endişe kaynağı.
Araştırmacılar bir e-postada, “Bu, diğer saldırıların ön koşulları farklı bir şekilde yerine getirildiğinde, yine de istismar edilebilecekleri anlamına geliyor” dedi. “Dolayısıyla bu yamayı onaylamıyoruz, ancak sistem artık önerdiğimiz tam saldırı zincirine karşı savunmasız olmayacak.”
Mega burada bir tavsiye yayınladı. Ancak servis başkanı, şirketin müşteri verilerine erişemeyeceğine dair vaatlerini revize etme planı olmadığını söylüyor.
Başkan Stephen Hall bir e-postada, “Kısa bir süre için, bir saldırganın çok sınırlı koşullarda ve çok az sayıda kullanıcı için taahhüdümüzü reddetme potansiyeli vardı, ancak bu şimdi düzeltildi” dedi.
