terça-feira, 5 de fevereiro de 2013

IDG Now!: Mega dará até 10 mil euros para quem achar falhas no serviço


Injeção de SQL e XSS e questões que podem resultar no comprometimento de dados de contas são alguns dos problemas que entram nas regras de premiação do concurso


O serviço de compartilhamento de arquivos Mega lançou um programa de recompensas que pagará até 10 mil euros (13,6 mil dólares) para cada falha de segurança grave encontrada na plataforma e informada de modo responsável. As regras do programa foram estabelecidas em um post publicado no blog da empresa, no sábado (2/2).

Os tipos de bugs que se qualificam para receber uma recompensa são:
  • Injeção de SQL e XSS (cross-site scripting); 
  • falhas que podem resultar na execução de código remoto em servidores do Mega ou em qualquer navegador; 
  • questões que derrubam o modelo de segurança criptográfica do site, resultando em acesso não autorizado a chaves de criptografia ou dados dos usuários; 
  • estratégias para contornar o controle de acesso e permitir a destruição de chaves ou dados; 
  • problemas que podem resultar no comprometimento de dados de uma conta, como resultado do roubo de e-mail associado. 
Os tipos de problemas de segurança que não entram nas regras são:

  • Questões que necessitam da interação do usuário, como formas de phishing e outros ataques de engenharia social; 
  • problemas decorrentes do uso de senhas fracas
  • questões que exigem um grande número de solicitações do servidor (força bruta); 
  • quaisquer problemas que resultam da utilização de máquinas comprometidas por parte do usuário; 
  • problemas com relação ao uso de navegador sem suporte ou desatualizado; 
  • vulnerabilidades em serviços de terceiros como, por exemplo, os que são geridos por revendedores; 
  • problemas com negação-de-serviço; questões que requerem acesso físico aos data centers; 
  • questões que envolvem o uso de certificados SSL falsos; 
  • deficiências criptográficas que requerem extremo poder computacional para explorar, como a previsão de números aleatórios; 
  • ou quaisquer outros bugs que não afetam a disponibilidade, integridade e confidencialidade dos dados do usuário. 
O concurso do Mega já recebeu críticas da comunidade de segurança e criptografia com relação a algumas das decisões de projeto do serviço e afirma que ele não pode cumprir com as suas promessas de segurança e privacidade dos usuários.

Não tão seguroApós o lançamento de serviço de compartilhamento, há duas semanas, especialistas em segurança apontaram várias questões que poderiam ameaçar a segurança do serviço, como a inclusão de hashes de senha em links de e-mails de confirmação da inscrição no serviço, o uso da função hash de criptografia fraca para verificar a integridade do código JavaScript em servidores secundários Mega e a falta de entropia (aleatoriedade) adequada durante o processo de geração da chave de criptografia.

Os criadores do site responderam anteriormente a estas preocupações em um post no blog, reconhecendo algumas das falhas apontadas e descartando outras.

"A criptografia open-source do Mega permanece intacta! Ofereceremos 10 mil euros para quem conseguir quebrá-la", disse Kim Dotcom, nesta sexta-feira (1/2), no Twitter.

Nenhum comentário:

Postar um comentário

deixe aqui seu comentário