Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/01/2013
Descubren fallos de seguridad en el sucesor de Megaupload
Aunque el nuevo servicio de compartición de ficheros integra un sistema de seguridad mejorado con respecto a Megaupload, algunos usuarios de Mega ya han detectado fallos de seguridad en la web, incluida la existencia de XSS, según apunta el Laboratorio Ontinet.com.El 18 de enero, justo un año despues del cierre de Megaupload, Kim Dotcom anunciaba a bombo y platillo el lanzamiento de Mega, un nuevo servicio de compartición de ficheros entre usuarios, el cual anunciaba importantes mejoras con respecto a su predecesor, incluido un sistema de seguridad que supuestamente impedirá actuaciones legales que provoquen su cierre. Pues bien, sólo en la primera semana se han detectado ya algunos fallos de seguridad, como asegura Josep Albors, responsable del Laboratorio Ontinet.com.
Junto con el nuevo sistema de seguridad, los responsables de Mega aseguran haber cifrado todos los datos, incluyendo los servicios de chats, emails o llamadas que se han incluido, garantizando así la privacidad del usuario, al ser el único que conocería la clave de cifrado. Pero han sido precisamente los usuarios quienes han dado la voz de alarma sobre la existencia de una vulnerabilidad XSS (Cross-Site Scripting), una práctica que permite colocar código externo en una página web para que fuerce la ejecución, lo que permitiría a un atacante inyectar código en la web de Mega, pudiendo provocar que los usuarios pulsasen sobre enlaces maliciosos.
Según Albors, éste es sólo uno de los fallos de seguridad descubiertos que demuestran que "hay aspectos que aún se deben pulir, puesto que, de seguir presentes, pueden afectar a muchos usuarios que quieren formar parte de este nuevo servicio. Lo último que necesitamos es que, provocado por las prisas en lanzarlo, se esté utilizando un servicio de forma masiva con graves problemas de seguridad”.