Nejen Google, ale už i soukromníci, jako Kim Dotcom, nabízejí relativně závratné částky za nalezení bezpečnostní chyby ve svých online službách.
Dotcom spustil program s finančními odměnami během uplynulého víkendu. Pokud útočník odhalí ještě nezjištěnou (0-day) zranitelnost, má za ni nárok na odměnu 10k eur a za každou další se částka násobí. Pokud je chyba jen dílčího rázu, není závažná, nebo již byla odhalena, nepřijde útočník zkrátka, ale bude mu vyplacena poměrově k tomu nižší částka. Odměna bude vyplacena i těm, kdo objeví chybu v samotné logice služby.
K tomuto kroku provozovatele vedl fakt, že za krátkou dobu od spuštění během letošního výročí zátahu proti Megauploadu byly objeveny již tři zranitelnosti, žádná naštěstí zatím neohrožovala celou funkcionalitu služby.
První a nejzásadnější chyba využívala nevhodný šifrovací algoritmus pro hash funkci, která ověřovala integritu JavaScript kódu z CDN. Právě díky ní nabyl Dotcom podezření, že ne všichni programátoři, kteří se na projektu podíleli, rozumí základním principům šifrování správně. Dále byly objeveny dvě blíže nespecifikované XSS chyby.
Princip fungování služby Mega je takový, že služba umožňuje uploadovat soubory a komukoli, kdo zná odkaz na stahovaný soubor jej následně stáhnout, archivace souborů probíhá dlouhodobě.
Pro upload Mega nabízí 50 GB prostoru v cloudu zdarma pro každého, což je několikanásobně více, než nabízí konkurence. Data jsou zašifrovaná, a tak k nim má přístup pouze ten, kdo je uploadoval.
Samotné soubory jsou ukládány zašifrované AES algoritmem a důležitý bod celého procesu spočívá v tom, že následná dešifrace proběhne až na straně uživatele. Provozovatel služby tak nebude mít nikdy přímý přístup k původnímu souboru.
Klíč, pomocí kterého probíhá dešifrování, je poskytnut pouze uživateli, jenž soubor nahrává a je na něm, komu jej zpřístupní dále. Jedním z důsledků tohoto postupu je, že poskytovatel není schopen identifikovat opakované nahrání nějakého souboru a tím pádem ani odstranit jeho případné kopie, pokud by o to majitelé práv zažádali.