Desarrollan una herramienta que averigua contraseñas débiles de MEGA

🎁 ¡Rebaja total! ¡Consigue el auténtico Office 2021 pos solo 12.99€! [ Ofertón ]

Como recordaréis, ayer dábamos cuenta de serios problemas de seguridad que se habían identificado en MEGA.

Hoy, lejos de ver los problemas de MEGA solucionados, hemos podido leer en Ars Technica que el investigador Steve «Sc00bz» Thomas ha publicado una utilidad llamada MegaCracker capaz de extraer contraseñas a partir del e-mail de confirmación que MEGA envía a sus usuarios.

MEGA envía un link de confirmación a todos los nuevos usuarios y requiere que pulsen sobre él antes de que puedan hacer uso del sistema MEGA, que supuestamente proporciona alta seguridad gracias al almacenamiento cifrado de los ficheros.

Según parece el link incluido en los e-mails de confirmación de MEGA no sólo incluye el hash de la contraseña del usuario sino otros datos sensibles como la clave maestra, que se envía cifrada con la contraseña del usuario. Recordemos que esta clave maestra es la que se utiliza para descifrar todos los ficheros almacenados en la cuenta.

Lo que hace MegaCracker es aislar el hash de la contraseña y tratar de adivinar el texto que se utilizó para generarla. Una vez que averigua esa contraseña – si lo consigue porque no siempre es posible – no tiene más que utilizarla para descifrar la clave maestra y, por tanto, conseguir acceso total a los ficheros almacenados por el usuario en Mega.

«Dado que el e-mail se envía sin cifrar, cualquiera que intercepte el tráfico puede leer ese mensaje» dijo Thomas. «No tiene sentido enviar un link de confirmación con un hash de tu contraseña»

Megacracker

La utilidad requiere que el usuario proporcione su propia lista de palabras a probar como posibles contraseñas. A un ritmo de 120 a 600 palabras por segundo, resulta bastante lento aunque funciona más rápido con un fichero pre-procecaso. Con ciertos ajustes, oclHashcat-plus y otras utilidades para averiguar contraseñas podrían emplearse para averiguar la contraseña de MEGA mucho más rápidamente.

Un atacante podría utilizar MegaCracker para adivinar contraseñas sencillas y entonces utilizar esa contraseña para descifrar la clave maestra cifrada. A partir de eso el atacante tendría control completo sobre la cuenta de MEGA del usuario y toda la información almacenada en ella de manera cifrada.

Fuente: Ars Technica

🎁 ¡Rebaja total! ¡Consigue el auténtico Office 2021 pos solo 12.99€! [ Ofertón ]

¿Cuál es tu reacción?
Sorprendido
0%
Feliz
0%
Indiferente
0%
Triste
0%
Enfadado
0%
Aburrido
0%
Incrédulo
0%
¡Buen trabajo!
0%
Sobre el Autor
Teknófilo
Luis es el creador y editor jefe de Teknófilo. Se aficionó a la tecnología con un Commodore 64 e hizo sus pinitos programando gracias a los míticos libros de 🛒 'BASIC para niños' con 11 años. Con el paso de los años, la afición a los ordenadores se ha extendido a cualquier cacharrito que tenga una pantalla y CPU.
Comentarios
Deja un comentario

Deja un comentario