Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/01/2013
El 18 de gener, just un any després del tancament de Megaupload, Kim Dotcom anunciava a so de bombo i platerets el llançament de Mega, un nou servei de compartició de fitxers entre usuaris, el qual anunciava importants millores respecte al seu predecessor, inclòs un sistema de seguretat que suposadament impedirà actuacions legals que provoquen el seu tancament. Doncs bé, només en la primera setmana s’han detectat ja alguns errors de seguretat, com assegura Josep Albors, responsable del laboratori Ontinet.com.
Juntament amb el nou sistema de seguretat, els responsables de Mega asseguren haver xifrat totes les dades, inclosos els serveis de xats, correus electrònics o cridades que s’hi han inclòs, de manera que es garantix la privacitat de l’usuari, que és l’únic qui coneixeria la clau de xifratge. Però han sigut precisament els usuaris els que han donat la veu d’alarma sobre l’existència d’una vulnerabilitat XSS (Cross-Site Scripting), una pràctica que permet col·locar codi extern en una pàgina web perquè force una execució, cosa que permetria a un atacant injectar codi en el web de Mega, de manera que podria provocar que els usuaris polsaren sobre enllaços maliciosos.
Segons Albors, este és només un dels errors de seguretat descoberts que demostren que "hi ha aspectes que encara s’han de polir, ja que, si continuen presents, poden afectar molts usuaris que volen formar part d’este nou servici. L’últim que necessitem és que, per les presses a llançar-lo, s’estiga utilitzant de forma massiva un servei amb greus problemes de seguretat”.