Erste MEGA Schwachstellen aufgetaucht

kim-dotcom-mega-megauploadKim “Dotcom” Schmitz prahlt zur Zeit in den Medien mit seiner hollywoodreifen Präsentation zum Start des Cloud-Services MEGA. Im Fokus steht vor allem die 2048 Bit RSA Verschlüsselung, die den neuen Cloud-Dienst ausmacht. Sicherheit Online hat aber nun bewiesen: Das Portal weist erste Sicherheitslücken auf. Diese Sicherheitslücken betreffen zwar (noch) nicht die Sicherheit der gehosteten Daten, sondern die der Registrierungsformulare. So lässt sich Mega als Spam-Mailer missbrauchen durch die Ausnutzung von XSS-Sicherheitslücken. Dies demonstriert Heiko Frenzel in nachfolgendem Video durch seinen eigens programmierten Bot und dokumentiert dies auf seinem Blog.

Bemängelt wird vor allem eine fehlende Captcha-Abfrage und IP-Sperre. Man darf sich also nicht wundern von MEGA eine Mail zu erhalten, obwohl man dort nicht registriert ist und bspw. Phishing E-Mails von MEGA erhalten und sollten entsprechend Misstrauen MEGA gegenüber walten lassen.

Verfrühter Start

KimDotCom wollte unbedingt den 19. Januar als Start für MEGA nutzen und um jeden Preis einhalten. Aus diesem Grund sind viele der geplanten Features, die im MEGA Blog angekündigt wurden, bisher noch nicht implementiert. Ähnlich wird es wahrscheinlich um die Sicherheit außerhalb des Hostings bestellt sein. Dass die gehosteten Daten in Zukunft betroffen sein werden, bezweifle ich, denn hier liegt das Hauptaugenmerk von MEGA.

Von | 2017-08-18T13:16:05+00:00 22. Januar 2013|Sicherheit|2 Kommentare

Über den Autor:

Ich bin ein technikbegeisterter Blogger, nebenberuflich (Fern-)Student der Wirtschaftsinformatik, hauptberuflicher Webentwickler und schreibe auf Bitpage.de gerne Technik-News, Tutorials und Reviews. Meine favorisierten Themen sind #Software, #Internet und digitale Fotografie.

2 Kommentare

  1. Omega Jan 22, 2013 um 18:57 Uhr

    “Nutzer von MEGA dürfen sich also nicht wundern, falls sie in Zukunft bspw. Phishing E-Mails von ihrem Cloud-Anbieter erhalten und sollten entsprechend Misstrauen erwecken.”

    So ein Blödsinn du scheinst das nicht ganz verstanden zu haben! Du bekommst höchstens MAILS von MEGA! Und nicht von ANDEREN!!! Somit ist auch kein Phishing möglich. Außer MEGA amcht das und die haben ja deine Adresse eh schon! Mal abgesehen davon liegt das Problem nicht bei den Servern von MEGA sondern eher beim EMAIL-SERVER von MEGA der nicht genügend Schutz bietet! Einmal den richtigen Haken gesetzt fertig! Da scheint MEGA gespart zu haben um Recourcen frei zu bekommen! Das kann ja auch nicht im Sinne MEGA sein 1000 Anmeldungen für eine Mail Adresse zu machen! Abgesehen davon solltest du die Pressekonferenz mal angesehen haben. Da hat MEGA gesagt das man noch BETA ist, weil man JAVA benutzt und das nur einwandfrei in CHROME funktioniert. Außerdem setzt die Verschlüsselung auf OPEN SOURCE (!) Und man hofft auf die Community! Nichts ist 100% Sicher. Und dieses tolle Video kann man sich sparen. Typisch Deutsche Idioten, Sorry aber lade dir mal Notepad++ herunter oder Google nach MACRO RECORDER. LoL

  2. Christopher Jan 22, 2013 um 19:07 Uhr

    Hallo Omega,
    soweit ich das verstanden habe, ist es Angreifern möglich über MEGA E-Mails zu versenden. Du hast Recht, dass der Angreifer keinen Zugriff auf die Daten der Nutzer hat. Ich hab den Satz entsprechend korrigiert.

    Das MEGA quasi noch Beta ist weiß ich und dachte, dass ich das in der letzten Passage habe durchscheinen lasse.

    Trotzdem möchte ich Dich in Zukunft bitten Dich nicht in dem Ton zu vergreifen und höflich zu bleiben! Niemand ist frei von Fehlern. Dass Du eine falsche E-Mail-Adresse hier hinterlegt hast zeigt mir, dass Du keine Verantwortung für deinen Kommentar hier übernehmen möchtest.

    Gruß,

    Christopher

Hinterlasse einen Kommentar