Investigadores revelaram que a encriptação que a MEGA anuncia como sendo completamente inviolável, é afinal vulnerável a ataques.
A MEGA tem estado em operação de forma bastante calma, longe dos polémicos tempos do seu fundador Kim Dotcom, e desde a sua génese anunciando a encriptação end-to-end como sendo um elemento diferenciador face a serviços concorrentes; assegurando a total segurança dos ficheiros que lá forem armazenados, de forma a que nem o serviço os consegue decifrar. Uma promessa que seguramente terá atraído muitos utilizadores, mas que poderá não ser tão segura como o serviço anuncia.
Especialistas em encriptação publicaram um estudo que revela
diversas falhas com o serviço, que negam a prometida segurança total da encriptação E2E.
As falhas indicadas permitem que seja possível recuperar as chaves dos utilizadores, não só dando acesso a todos os seus ficheiros como potencialmente permitindo a sua incriminação fazendo upload de ficheiros comprometedores que ficarão encriptados com as suas chaves privadas.
O problema mais grave é que as falhas encontradas demonstram uma fragilidade estrutural na forma como o serviço foi concebido, e que apesar da MEGA ter feito alguns ajustes fáceis e rápidos para evitar o ataque tal como foi apresentado, as mesmas fragilidades estruturais mantêm-se. Segundo os investigadores, para efectivamente resolver o problema seria necessário que todos os utilizadores descarregassem todos os seus ficheiros, decifrando-os, recodificando-os, e voltando a fazer o upload. Algo que, com mais de 1000 PB de dados no serviço, não se pode esperar que seja feito (seriam necessários mais de seis meses só para descarregar toda a informação utilizando a ligação de 1000 Gbits/s da MEGA) - e que também explica a solução de "desenrasque" aplicada.
Os investigadores alertam para a necessidade de serviços idênticos pensarem de raiz neste tipo de cenários, sendo necessário que o serviço esteja preparado para a utilização de algoritmos de encriptação que necessitem de ser alterados no futuro para corrigir vulnerabilidades, e que permitam fazer essa actualização / transição de forma que mantenha a segurança dos dados. Até lá, há que manter em perspectiva que a segurança garantida pela MEGA poderá não ser tão segura quanto é anunciado.
Já tinha lido algures, acho que do próprio fundador do MEGA ou talvez outra pessoa qualquer relevante, que o serviço parecia ter sido modificado de alguma forma para permitir aceder aos ficheiros dentro da plataforma.
ResponderEliminarPor sorte, ainda antes das alterações mais relevantes já tinha começado a utilizar um programa externo que cifra tudo antes de enviar, para que pelo menos os ficheiros enviados não possam ser vistos com facilidade. Claro que não impede terceiros de enviar coisas para a conta se conseguirem a chave privada do serviço de alguma forma.
Lembro-me de ele ter dito, após a sua saída do Mega, que a partir daquele momento não conseguia garantir a segurança dos ficheiros lá armazenados. Tardou, mas não falhou.
ResponderEliminar