🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]
También ha afirmado que algunos de los problemas identificados no son tales, en particular aquellos relacioandos con la debilidad del cifrado de la comunicación SSL, y ha aportado detalles técnicos para justificarlo.
Como se ha comentado en artículos anteriores, en la actualidad los usuarios de MEGA no pueden cambiar su contraseña y, de hecho, si la olvidan, pierden el acceso a todos sus ficheros. MEGA ha afirmado que va a implementar una funcionalidad de cambio de contraseña que «volverá a cifrar la clave maestra con tu nueva contraseña», así como un método de reseteo de la contraseña que permitirá a los usuarios acceder a su cuenta de nuevo pero no podrán leer sus ficheros antiguos ya que estos habrían sido cifrados con la clave anterior.
Otra mejora que van a poner en marcha se refiere a la aleatoriedad con la que se generan las claves RSA cuando el usuario se da de altaen el servicio ya que, como ya indicamos, la función de Javascript que utilizan para generar números pseudo-aleatorios es en cierto modo predecible. MEGA solventa actualmente este problema de manera parcial, añadiendo más aleatoriedad gracias a tener en cuenta los movimientos erráticos del ratón y las ulsaciones del teclado durante un breve período de tiempo. MEGA ha anunciado que va a permitir que el usuario pueda añadir mayor aleatoriedad, probablemente incrementado ese período de tiempo.
Uno de los puntos más controvertidos de los términos y condiciones de MEGA se refería a la de-duplicación de los ficheros ya que MEGA afirma que si varios usuarios subían el mismo fichero, la compañía se reserva el derecho de almacenarlo sólo una vez y crear enlaces simbólicos que, para el usuario, serían transparentes. Dado que los datos están cifrados con la clave de cada usuario, los expertos se preguntaban cómo era posible que MEGA pudiera identificar ficheros iguales que habían sido cifrados con claves diferentes. MEGA ha aclarado que la de-duplicación sólamente se aplica a ficheros subidos por un mismo usuario o cuando un fichero, cifrado con una clave compartida, se copia en varias cuentas.
MEGA también ha indicado que ciertas acusaciones son falsas, como el hecho de que ellos verifiquen su propio código Javascript o que el servidor SSL utilice cifrado de tan solo 1024 bits. MEGA tiene dos dominios, el frontal mega.co.nz y también el static.co.nz. El primero utiliza cifrado de 2048 bits y es seguro, mientras que el segundo utiliza cifrado de 1024 bits y podría considerarse «inseguro». Todo el código descargado del servidor «inseguro» es comprobado por una rutina de chequeo de Javascript descargada del servidor «seguro», lo que impide que el código pueda haber sido manipulado.
Respecto al riesgo de que un atacante pudiera romper el cifrado SSL y comprometer la seguridad de MEGA, la compañía ha admitido este hecho pero le ha reducido importancia: «si eres capaz de romper el SSL, puedes romper muchas otras cosas que son más interesantes que MEGA,» afirman en su blog.
Por último MEGA ha confirmado la existencia de la herramienta MegaCracker y simplemente ha comentado que «es un buen recordatorio de que no se deben usar contraseñas fácilmente adivinables o palabras del diccionario.»
Fuente: Mega blog
Actualización (24/01/2013 17:41): Hemos actualizado la explicación sobre la seguridad SSL relativa a los dominios mega.co.nz y static.co.nz para que refleje mejor la realidad.