Total Security - totalsecurity.com.br
Mega dará até 10 mil euros para quem achar falhas no serviço
O serviço de compartilhamento de arquivos Mega lançou um programa de recompensas que pagará até 10 mil euros (13,6 mil dólares) para cada falha de segurança grave encontrada na plataforma e informada de modo responsável. As regras do programa foram estabelecidas em um post publicado no blog da empresa, no sábado (2/2).
Os tipos de bugs que se qualificam para receber uma recompensa são:
Injeção de SQL e XSS (cross-site scripting);
falhas que podem resultar na execução de código remoto em servidores do Mega ou em qualquer navegador;
questões que derrubam o modelo de segurança criptográfica do site, resultando em acesso não autorizado a chaves de criptografia ou dados dos usuários;
estratégias para contornar o controle de acesso e permitir a destruição de chaves ou dados;
problemas que podem resultar no comprometimento de dados de uma conta, como resultado do roubo de e-mail associado.
Os tipos de problemas de segurança que não entram nas regras são:
Questões que necessitam da interação do usuário, como formas de phishing e outros ataques de engenharia social;
problemas decorrentes do uso de senhas fracas;
questões que exigem um grande número de solicitações do servidor (força bruta);
quaisquer problemas que resultam da utilização de máquinas comprometidas por parte do usuário;
Os tipos de bugs que se qualificam para receber uma recompensa são:
Injeção de SQL e XSS (cross-site scripting);
falhas que podem resultar na execução de código remoto em servidores do Mega ou em qualquer navegador;
questões que derrubam o modelo de segurança criptográfica do site, resultando em acesso não autorizado a chaves de criptografia ou dados dos usuários;
estratégias para contornar o controle de acesso e permitir a destruição de chaves ou dados;
problemas que podem resultar no comprometimento de dados de uma conta, como resultado do roubo de e-mail associado.
Os tipos de problemas de segurança que não entram nas regras são:
Questões que necessitam da interação do usuário, como formas de phishing e outros ataques de engenharia social;
problemas decorrentes do uso de senhas fracas;
questões que exigem um grande número de solicitações do servidor (força bruta);
quaisquer problemas que resultam da utilização de máquinas comprometidas por parte do usuário;
problemas com relação ao uso de navegador sem suporte ou desatualizado;
vulnerabilidades em serviços de terceiros como, por exemplo, os que são geridos por revendedores;
problemas com negação-de-serviço; questões que requerem acesso físico aos data centers;
questões que envolvem o uso de certificados SSL falsos;
deficiências criptográficas que requerem extremo poder computacional para explorar, como a previsão de números aleatórios;
ou quaisquer outros bugs que não afetam a disponibilidade, integridade e confidencialidade dos dados do usuário.
O concurso do Mega já recebeu críticas da comunidade de segurança e criptografia com relação a algumas das decisões de projeto do serviço e afirma que ele não pode cumprir com as suas promessas de segurança e privacidade dos usuários.
Não tão seguro
Após o lançamento de serviço de compartilhamento, há duas semanas, especialistas em segurança apontaram várias questões que poderiam ameaçar a segurança do serviço, como a inclusão de hashes de senha em links de e-mails de confirmação da inscrição no serviço, o uso da função hash de criptografia fraca para verificar a integridade do código JavaScript em servidores secundários Mega e a falta de entropia (aleatoriedade) adequada durante o processo de geração da chave de criptografia.
Os criadores do site responderam anteriormente a estas preocupações em um post no blog, reconhecendo algumas das falhas apontadas e descartando outras.
"A criptografia open-source do Mega permanece intacta! Ofereceremos 10 mil euros para quem conseguir quebrá-la", disse Kim Dotcom, nesta sexta-feira (1/2), no Twitter.
vulnerabilidades em serviços de terceiros como, por exemplo, os que são geridos por revendedores;
problemas com negação-de-serviço; questões que requerem acesso físico aos data centers;
questões que envolvem o uso de certificados SSL falsos;
deficiências criptográficas que requerem extremo poder computacional para explorar, como a previsão de números aleatórios;
ou quaisquer outros bugs que não afetam a disponibilidade, integridade e confidencialidade dos dados do usuário.
O concurso do Mega já recebeu críticas da comunidade de segurança e criptografia com relação a algumas das decisões de projeto do serviço e afirma que ele não pode cumprir com as suas promessas de segurança e privacidade dos usuários.
Não tão seguro
Após o lançamento de serviço de compartilhamento, há duas semanas, especialistas em segurança apontaram várias questões que poderiam ameaçar a segurança do serviço, como a inclusão de hashes de senha em links de e-mails de confirmação da inscrição no serviço, o uso da função hash de criptografia fraca para verificar a integridade do código JavaScript em servidores secundários Mega e a falta de entropia (aleatoriedade) adequada durante o processo de geração da chave de criptografia.
Os criadores do site responderam anteriormente a estas preocupações em um post no blog, reconhecendo algumas das falhas apontadas e descartando outras.
"A criptografia open-source do Mega permanece intacta! Ofereceremos 10 mil euros para quem conseguir quebrá-la", disse Kim Dotcom, nesta sexta-feira (1/2), no Twitter.
Fonte:
IDGNOW
URL Fonte: https://totalsecurity.com.br/noticia/2833/visualizar/
Comentários