Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Уязвимости в облаке MEGA позволяют расшифровать файлы

23/06/22

Mega

Ученые из Швейцарской высшей технической школы Цюриха ETH Zurich выявили несколько критических уязвимостей в службе облачного хранилища MEGA, которые можно использовать для нарушения конфиденциальности и целостности пользовательских данных.

В документе под названием « MEGA: гибкое шифрование идет наперекосяк » исследователи отметили, что система MEGA не защищает своих пользователей и позволяет киберпреступнику получить доступ к загружаемым файлам. «Злоумышленник может внедрять вредоносные файлы, которые проходят все проверки подлинности клиента», — заявили эксперты ETH Zurich.

Пользователи MEGA находятся под угрозой взлома RSA ключа , которая позволяет злоумышленнику раскрыть закрытый RSA ключ пользователя, подделав 512 попыток входа в систему, и расшифровать сохраненный контент, пишут в Securitylab.

«После входа в систему общие папки, MEGAdrop файлы и чаты можно расшифровать. Файлы на облачном диске могут быть расшифрованы при последующих входах в систему», — сказал главный архитектор MEGA Матиас Ортманн,

Затем восстановленный RSA ключ можно расширить для последующих атак, чтобы выполнить следующие действия:

  • Расшифровать все сообщения и файлы пользователя;
  • Вставлять произвольные файлы в хранилище пользователя;
  • Подделать имя файла для размещения его в облаке жертвы;
  • Расшифровать RSA, используемый платформой MEGA для шифрования данных пользователя и данных, которыми он поделился.

«Уязвимости могут быть использованы, если киберпреступник незаметно скомпрометировал API-серверы MEGA или TLS-соединения. Злоумышленник может загрузить произвольные данные и расшифровать все файлы и сообщения жертвы», — отметил Ортманн.

По словам MEGA , о скомпрометированных учетных записях сервису не сообщалось. Также платформа пообещала исправить ошибки в следующем выпуске.

Темы:Облачные технологииУгрозыуниверситетские исследования
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...