Cloudová file-hostingová služba Mega spustila program odměn za odhalené bezpečnostní chyby. Za každou ohlášenou závažnou chybu platformy jsou provozovatelé služby ochotni vyplatit až 10 000 EUR (zhruba 250 000 Kč). Pravidla programu jsou zveřejněna na oficiálním blogu společnosti.
Za opravdu závažné chyby hodné odměny provozovatelé považují vzdálené spouštění kódu na serverech prostřednictvím SQL injection nebo v klientských prohlížečích skrze XSS (cross site scripting), prolomení šifrovacího modelu vedoucí k neoprávněnému přístupu k šifrovacím klíčům nebo samotným datům uživatelů, prolomení ochrany přístupu k datům a ohrožení účtů prostřednictvím neoprávněné manipulace s uživatelskou e-mailovou schránkou.
Mezi závažné bezpečnostní trhliny naopak správci služby Mega neřadí phishingové útoky a jiné techniky sociálního inženýrství, útoky založené na prolomení slabých hesel, brute force útoky, DoS a další.
Celý program odměn za odhalené chyby je odpovědí provozovatelů služby na vlnu kritiky, jež se na službu Mega snesla nedlouho po jejím spuštění. Komunity zabývající se bezpečností a kryptografií poukázaly na několik problémů, které by mohly ohrozit bezpečnost služby. Jednalo se především o hashe hesel zasílané v potvrzovacích e-mailech, použití slabé kryptografické hashovací funkce pro ověření integrity JavaScriptového kódu na sekundárních serverech Mega a nedostatek entropie (získané náhodnosti) při generování šifrovacích klíčů.
Na kritiku reagovali provozovatelé služby s tím, že některé teze potvrdili a jiné naopak vyvrátili. "Open source šifrování ve službě Mega zůstává neprolomené. Nabízíme 10 000 EUR tomu, kdo jej dokáže prolomit," napsal v pátek zakladatel služby, Kim Dotcom, na svůj Twitter.
Zdroj: IDG News Service, Mega.co.nz
PŘEDPLATNÉ
ČLÁNKY DO MAILU