Dotcom nabízí 10 tisíc eur za nalezení bezpečnostní chyby ve službě Mega

Karel Michal , 04. únor 2013 14:24 0 komentářů

Nejen Google, ale už i soukromníci, jako Kim Dotcom, nabízejí relativně závratné částky za nalezení bezpečnostní chyby ve svých online službách.

Dotcom spustil program s finančními odměnami během uplynulého víkendu. Pokud útočník odhalí ještě nezjištěnou (0-day) zranitelnost, má za ni nárok na odměnu 10k eur a za každou další se částka násobí. Pokud je chyba jen dílčího rázu, není závažná, nebo již byla odhalena, nepřijde útočník zkrátka, ale bude mu vyplacena poměrově k tomu nižší částka. Odměna bude vyplacena i těm, kdo objeví chybu v samotné logice služby.

K tomuto kroku provozovatele vedl fakt, že za krátkou dobu od spuštění během letošního výročí zátahu proti Megauploadu byly objeveny již tři zranitelnosti, žádná naštěstí zatím neohrožovala celou funkcionalitu služby.

První a nejzásadnější chyba využívala nevhodný šifrovací algoritmus pro hash funkci, která ověřovala integritu JavaScript kódu z CDN. Právě díky ní nabyl Dotcom podezření, že ne všichni programátoři, kteří se na projektu podíleli, rozumí základním principům šifrování správně. Dále byly objeveny dvě blíže nespecifikované XSS chyby.

Princip fungování služby Mega je takový, že služba umožňuje uploadovat soubory a komukoli, kdo zná odkaz na stahovaný soubor jej následně stáhnout, archivace souborů probíhá dlouhodobě. Pro upload Mega nabízí 50 GB prostoru v cloudu zdarma pro každého, což je několikanásobně více, než nabízí konkurence. Data jsou zašifrovaná, a tak k nim má přístup pouze ten, kdo je uploadoval. Samotné soubory jsou ukládány zašifrované AES algoritmem a důležitý bod celého procesu spočívá v tom, že následná dešifrace proběhne až na straně uživatele. Provozovatel služby tak nebude mít nikdy přímý přístup k původnímu souboru.

Klíč, pomocí kterého probíhá dešifrování, je poskytnut pouze uživateli, jenž soubor nahrává a je na něm, komu jej zpřístupní dále. Jedním z důsledků tohoto postupu je, že poskytovatel není schopen identifikovat opakované nahrání nějakého souboru a tím pádem ani odstranit jeho případné kopie, pokud by o to majitelé práv zažádali.


Komentáře


RSS 

Komentujeme

Zákaznické karty čekají změny

Pavel Houser , 17. leden 2017 13:00
Pavel Houser

Jedna z technologií, která se už po léta prakticky nezměnila, i když by mohla? Prý karty zákazníků d...

Více





Kalendář

06. 02.

07. 02.
konference G2B TechEd
15. 02. IDC Predictions 2017
18. 02. WordCamp Praha 2017
RSS 

Zprávičky

Rockaway získala minoritní podíl v Techloop.io

ČTK , 23. leden 2017 16:30

Investiční firma Rockaway Ventures získala minoritní podíl ve firmě Techloop.io, která zprostředkov...

Více 0 komentářů

Za vznícení mobilů Samsungu mohly baterie, firma odloží Galaxy S8

ČTK , 23. leden 2017 12:00

Za případy vznícení chytrých telefonů Galaxy Note 7 jihokorejské společnosti Samsung Electronics stá...

Více 0 komentářů

Foxconn zvažuje velkou investici do továrny v USA

ČTK , 23. leden 2017 08:29

Tchajwanská společnost Foxconn zvažuje, že investuje přes sedm miliard dolarů (zhruba 177 miliard Kč...

Více 0 komentářů

Starší zprávičky

ČTÚ pohrozil O2 a Vodafonu odebráním licencí na LTE kvůli cenám

ČTK , 22. leden 2017 14:00

Český telekomunikační úřad (ČTÚ) znovu vyzval operátory O2 a Vodafone, aby do měsíce snížili velkoob...

Více 1 komentářů

Menší e-shopy kvůli EET zruší platbu kartou

ČTK , 22. leden 2017 07:00

Řada menších tuzemských e-shopů od března, kdy pro ně začne platit elektronická evidence tržeb (EET...

Více 2 komentářů

Na další rozvoj ekonomického systému bude Praha vypisovat tendry

ČTK , 21. leden 2017 14:00

Na další rozvoj ekonomického systému Ginis bude Praha vypisovat jednotlivé veřejné zakázky. Pražští ...

Více 0 komentářů

Tržby IBM klesaly i ve 4.čtvrtletí loňského roku, akciím se daří

ČTK , 21. leden 2017 07:00

Americká počítačová společnost International Business Machines (IBM) zaznamenala další, již devatená...

Více 0 komentářů