Mega menanggapi masalah keamanan; menjanjikan beberapa perubahan

Perwakilan dari penyimpanan file yang baru diluncurkan dan berbagi layanan Mega membahas beberapa kekhawatiran yang diangkat oleh para peneliti keamanan dalam beberapa hari terakhir tentang arsitektur situs dan implementasi fitur kriptografiknya.

Internet dan menuduh penjahat digital Kim Dotcom baru-baru ini meluncurkan Mega (singkatan dari Mega Encrypted Global Access), yang menampilkan 50GB penyimpanan gratis. Mega hanyalah salah satu komponen dari apa yang Dotcom dan timnya harapkan akan menjadi suite layanan terenkripsi online dari Mega Ltd. termasuk email, panggilan suara, pesan instan, dan streaming video.

Dalam posting blog yang diterbitkan Selasa, pejabat Mega mengakui bahwa beberapa risiko keamanan yang ditunjukkan oleh peneliti valid, tetapi mengatakan bahwa pengguna sudah diberitahu tentang beberapa dari mereka melalui bagian FAQ (Pertanyaan yang Sering Diajukan) dari situs web. Dalam kasus masalah lain, mereka menjanjikan beberapa perbaikan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Misalnya, telah ditunjukkan bahwa kunci enkripsi yang dihasilkan oleh pengguna selama sign- proses, dan yang kemudian digunakan untuk mengenkripsi file mereka, dienkripsi menggunakan kata sandi akun dan hanya disimpan di server Mega. Karena tidak ada fitur pemulihan kata sandi, pengguna akan kehilangan kemampuan untuk mendekripsi file mereka jika mereka lupa kata sandi mereka, kata beberapa orang.

"Ini benar-satu-satunya kunci yang MEGA perlukan untuk disimpan di sisi pengguna adalah kata sandi login, di otak pengguna, "kata pejabat Mega. "Kata sandi ini akan membuka kunci master, yang pada gilirannya akan membuka kunci file / folder / share / kunci pribadi."

Namun, mekanisme yang akan memungkinkan pemulihan file jika kata sandi dilupakan akan diimplementasikan dalam waktu dekat, mereka berkata. Ini akan mencakup opsi untuk mengubah kata sandi dan mengimpor kunci file yang telah diekspor untuk memulihkan file yang terkait.

Peneliti keamanan juga mencatat fakta bahwa kunci enkripsi master dihasilkan di dalam browser saat mendaftar menggunakan matematika Fungsi JavaScript acak dan memperingatkan bahwa fungsi ini tidak melakukan pekerjaan dengan baik menghasilkan angka acak, yang berarti bahwa kunci yang dihasilkan mungkin lemah dari sudut pandang kriptografi.

Sebagai tanggapan, pejabat Mega mengatakan bahwa entropi-keacakan- ditambahkan dengan menggunakan data yang dikumpulkan dari mouse dan keyboard pengguna. "Kami akan, bagaimanapun, menambahkan fitur yang memungkinkan pengguna untuk menambahkan sebanyak entropi secara manual sesuai yang dia inginkan sebelum melanjutkan ke generasi kunci," kata mereka.

Perwakilan Mega juga mengklarifikasi bagaimana sistem verifikasi JavaScript situs berfungsi, mencatat bahwa server HTTPS utama yang menggunakan sertifikat SSL dengan kunci 2048-bit digunakan untuk memverifikasi integritas kode JavaScript yang disajikan dari server HTTPS sekunder yang menggunakan sertifikat dengan kunci 1024-bit. "Ini pada dasarnya memungkinkan kami untuk meng-host konten statis yang sangat sensitif terhadap integritas pada sejumlah besar server yang beragam secara geografis tanpa mengkhawatirkan keamanan," kata mereka.

Seorang peneliti bernama Steve Thomas, yang dikenal online sebagai "Sc00bz," menemukan bahwa tautan yang termasuk dalam email konfirmasi yang dikirim oleh Mega selama proses pendaftaran akun sebenarnya berisi hash kata sandi pengguna.

Thomas merilis alat yang disebut MegaCracker yang dapat digunakan untuk mengekstrak hash dari tautan tersebut dan berusaha memecahkannya menggunakan serangan kamus.

Mengomentari rilis alat tersebut, para pejabat Mega mengatakan bahwa MegaCracker adalah "pengingat yang sangat baik untuk tidak menggunakan kata sandi yang dapat ditebak / kamus, khususnya jika kata sandi Anda juga berfungsi sebagai kunci enkripsi master untuk semua file yang Anda simpan di MEGA. "

Namun, mereka gagal menjawab pertanyaan mengapa tautan konfirmasi akun yang dikirimkan melalui email berisi hash kata sandi pengguna di tempat pertama. Teknik umum yang digunakan oleh situs web lain adalah untuk menghasilkan kode acak khusus untuk tautan konfirmasi.

Untuk mencegah calon penyerang mendapatkan hash kata sandi mereka di lain waktu, pengguna mungkin harus menghapus email konfirmasi Mega setelah mereka mengeklik yang disertakan tautkan dan siapkan akun mereka.