آسیبپذیری بحرانی در بزرگترین فضای ذخیرهسازی ابری
این شرکت بهدلیل ارائه بزرگترین فضای ذخیرهسازی ابری با امکانات کامل و تخصیص فضای ذخیرهسازی ۲۰ گیگابایتی رایگان، در جهان شناخته شده است. کارشناسان یکی از دانشگاههای برجسته اروپا، ETH Zurich سوئیس، یک آسیبپذیری مهم در فضای ذخیرهسازی ابری مگا را گزارش کردند که به مهاجم اجازه میدهد اطلاعات کاربر را رمزگشایی کند. محققان بر این باورند که یک مهاجم، کنترل قلب زیرساخت سرور مگا را به دست میگیرد و به یک حمله موفق مرد میانی (man-in-the-middle) و اتصال TLS کاربر به مگا دست مییابد. زمانی که یک حساب کاربری مورد هدف، موفق به ورود به سیستم شد، فولدرهای مشترک ورودی، فایلهای MEGAdrop و چتها میتوانند رمزگشایی شوند. فایلهای موجود در درایو ابری ممکن است طی ورودهای بعدی رمزگشایی شوند. علاوه براین ممکن است فایلهایی در حساب کاربری قرار داده شوند که به نظر میرسد توسط خود کاربر بارگذاری شده است. مرکز ماهر(مدیریت امداد و هماهنگی رخدادهای رایانهای) اعلام کرده که تیمی از محققان گروه Applied Cryptography در دپارتمان علوم کامپیوتر، مجموعا پنج آسیبپذیری را در معماری رمزنگاری مگا گزارش دادند. آسیبپذیریهای شناساییشده بدینترتیب است که هر بار که یک کاربر مگا وارد سیستم میشود، به تدریج برخی از اطلاعات جمعآوری میشود؛ پس از حداقل ۵۱۲ ورود، اطلاعات جمعآوریشده به مهاجم این امکان را میدهد تا بخشهایی از حساب کاربری را رمزگشایی کنند و همچنین از ورودهای بیشتر برای رمزگشایی سایر بخشهای باقیمانده استفاده کند؛ حریم خصوصی و یکپارچگی همه دادهها و چتهای ذخیره شده به نابودی کشیده میشود؛ حسابهای کاربری وارد میشوند؛ مکانیزم تبادل کلید چت قدیمی مختل میشود. محققان خاطرنشان کردند که حتی اگر سرورهای API ارائهدهنده، توسط فرد دیگری کنترل شود، اطلاعات رمزگذاریشده کاربر نباید هرگز توسط مهاجم قابل خواندن باشد(حتی پس از ۵۱۲ بار ورود). سرویس ذخیرهسازی ابری مگا در تمام پلتفرمها(ویندوز، اندروید و آیاواس) تحت تاثیر این آسیبپذیری قرار دارند. فضای ابری مگا بهروزرسانیهای نرمافزاری را جهت رفع آسیبپذیری مذکور منتشر کرده است. به تمامی کاربران توصیه میشود نرمافزار خود را در تمام دستگاهها ارتقا دهند و سپس حساب کاربری خود را به فرمتی جدید تبدیل کنند.