kimdotcom.jpg

Nakon kritika koje su se pojavile nakon nedavnog pokretanja Mega Cloud servisa za pohranu (nasljednika Megaupload-a), kontroverzni Kim Dotcom ponudio je  10.000 evra nagrade svakome tko uspije probiti kriptografiju dizajniranu s ciljem da se se povjerljive datoteke korisnika zaštite od hakera i drugih neovlaštenih osoba.

Servis Mega debitirao je prije dva tjedna u ubrzo se našao na meti kritičara koji su isticali postojanje potencijalne ranjivosti koja može da se iskoristi za otključavanje privatnih datoteka korisnika. Također, i sama dokumentacija Mega servisa prilično je nejasno po pitanju zaštite privatnih ključeva za kriptiranje. Kritizirana je ovisnost Mega servisa o JavaScript-u koji se preuzima sa Mega servera i koji se koristi za kriptiranje datoteke prije nego što se ona otpremi na Cloud servis.

Također, Mega novim korisnicima šalje nekodiranu e-mail potvrdu koja sadrži ne samo kriptografski hash njihove lozinke već i druge osjetljive podatke kao što je šifrirani master ključ koji se koristi za dekriptiranje datoteka pohranjenih na računu.

  • Svi oni koji žele da osvoje nagradu od 10.000 evra moraju znati koje ranjivosti konkuriraju za nagradu:
  • Daljinsko izvršavanje koda na bilo kojem od Mega servera (uključujući i SQL injection)
  • Daljinsko izvršavanje koda na bilo kojem pregledniku klijenta (npr., kroz XSS)
  • Svaki problem koji razbija kriptografski sigurnosni model servisa Mega, omogućujući neovlašteni daljinski pristup ili manipulaciju ključevima ili podacima
  • Svaki problem koji zaobilazi kontrolu pristupa, omogućujući neovlašteno prepisivanje ili uništavanje ključeva ili korisničkih podataka
  • Svaki problem koji ugrožava podatke na računu u slučaju kada je povezana e-mail adresa ugrožena

Samo oni koji su prvi pronašli ranjivost imaju pravo na nagradu. Kim Dotcom navodi da svatko tko pronađe ranjivost može da je dostavi na bugs@mega.co.nz.