MEGA — это облачная платформа для хранения и совместной работы, основанная в 2012 году и предлагающая услуги безопасного хранения и связи.
Имея более 250 миллионов зарегистрированных пользователей, 10 миллионов активных пользователей в день и 1000 ПБ хранимых данных, MEGA является важным игроком в этой сфере.
Что отличает их от конкурентов, таких как DropBox, Google Drive, iCloud и Microsoft OneDrive, так это заявленные гарантии безопасности: MEGA рекламирует себя как «компанию, обеспечивающую конфиденциальность», и обещает «сквозное шифрование, контролируемое пользователем»
Однако, исследователи в области криптографии ( https://mega-awry.io) опубликовали отчет, согласно которому архитектура, которую Mega использует для шифрования файлов, пронизана фундаментальными недостатками криптографии, из-за которых любой, кто контролирует платформу, может легко выполнить атаку с полным восстановлением ключа для пользователей после того, как они вошли в систему достаточное количество раз.
При этом злоумышленник может расшифровать сохраненные файлы или даже загрузить компрометирующие или иным образом вредоносные файлы в учетную запись; эти файлы выглядят неотличимо от действительно загруженных данных.
В лице злоумышленника может выступать злонамеренный инсайдер, национальное государство, тайно взломавшее платформу, или должностные лица Mega, работающие по секретному постановлению суда.
Всего исследователи привели и подробно описали пять возможных атак, полностью компрометирующих шифрование платформы.
MEGA признала атаки и подтвердила, что система уязвима и нуждается в исправлении.
Имея более 250 миллионов зарегистрированных пользователей, 10 миллионов активных пользователей в день и 1000 ПБ хранимых данных, MEGA является важным игроком в этой сфере.
Что отличает их от конкурентов, таких как DropBox, Google Drive, iCloud и Microsoft OneDrive, так это заявленные гарантии безопасности: MEGA рекламирует себя как «компанию, обеспечивающую конфиденциальность», и обещает «сквозное шифрование, контролируемое пользователем»
Однако, исследователи в области криптографии ( https://mega-awry.io) опубликовали отчет, согласно которому архитектура, которую Mega использует для шифрования файлов, пронизана фундаментальными недостатками криптографии, из-за которых любой, кто контролирует платформу, может легко выполнить атаку с полным восстановлением ключа для пользователей после того, как они вошли в систему достаточное количество раз.
При этом злоумышленник может расшифровать сохраненные файлы или даже загрузить компрометирующие или иным образом вредоносные файлы в учетную запись; эти файлы выглядят неотличимо от действительно загруженных данных.
В лице злоумышленника может выступать злонамеренный инсайдер, национальное государство, тайно взломавшее платформу, или должностные лица Mega, работающие по секретному постановлению суда.
Всего исследователи привели и подробно описали пять возможных атак, полностью компрометирующих шифрование платформы.
MEGA признала атаки и подтвердила, что система уязвима и нуждается в исправлении.
