Desarrollan una herramienta que averigua contraseñas débiles de MEGA
Como recordaréis, ayer dábamos cuenta de serios problemas de seguridad que se habían identificado en MEGA.
Hoy, lejos de ver los problemas de MEGA solucionados, hemos podido leer en Ars Technica que el investigador Steve «Sc00bz» Thomas ha publicado una utilidad llamada MegaCracker capaz de extraer contraseñas a partir del e-mail de confirmación que MEGA envía a sus usuarios.
MEGA envía un link de confirmación a todos los nuevos usuarios y requiere que pulsen sobre él antes de que puedan hacer uso del sistema MEGA, que supuestamente proporciona alta seguridad gracias al almacenamiento cifrado de los ficheros.
Según parece el link incluido en los e-mails de confirmación de MEGA no sólo incluye el hash de la contraseña del usuario sino otros datos sensibles como la clave maestra, que se envía cifrada con la contraseña del usuario. Recordemos que esta clave maestra es la que se utiliza para descifrar todos los ficheros almacenados en la cuenta.
Lo que hace MegaCracker es aislar el hash de la contraseña y tratar de adivinar el texto que se utilizó para generarla. Una vez que averigua esa contraseña – si lo consigue porque no siempre es posible – no tiene más que utilizarla para descifrar la clave maestra y, por tanto, conseguir acceso total a los ficheros almacenados por el usuario en Mega.
«Dado que el e-mail se envía sin cifrar, cualquiera que intercepte el tráfico puede leer ese mensaje» dijo Thomas. «No tiene sentido enviar un link de confirmación con un hash de tu contraseña»
La utilidad requiere que el usuario proporcione su propia lista de palabras a probar como posibles contraseñas. A un ritmo de 120 a 600 palabras por segundo, resulta bastante lento aunque funciona más rápido con un fichero pre-procecaso. Con ciertos ajustes, oclHashcat-plus y otras utilidades para averiguar contraseñas podrían emplearse para averiguar la contraseña de MEGA mucho más rápidamente.
Un atacante podría utilizar MegaCracker para adivinar contraseñas sencillas y entonces utilizar esa contraseña para descifrar la clave maestra cifrada. A partir de eso el atacante tendría control completo sobre la cuenta de MEGA del usuario y toda la información almacenada en ella de manera cifrada.
Fuente: Ars Technica