IDG Now!: Mega dará até 10 mil euros para quem achar falhas no serviço

Mega dará até 10 mil euros para quem achar falhas no serviço: 

Injeção de SQL e XSS e questões que podem resultar no comprometimento de dados de contas são alguns dos problemas que entram nas regras de premiação do concurso

O serviço de compartilhamento de arquivos Mega lançou um programa de recompensas que pagará até 10 mil euros (13,6 mil dólares) para cada falha de segurança grave encontrada na plataforma e informada de modo responsável. As regras do programa foram estabelecidas em um post publicado no blog da empresa, no sábado (2/2).

Os tipos de bugs que se qualificam para receber uma recompensa são:

• Injeção de SQL e XSS (cross-site scripting); 
• falhas que podem resultar na execução de código remoto em servidores do Mega ou em qualquer navegador; 
• questões que derrubam o modelo de segurança criptográfica do site, resultando em acesso não autorizado a chaves de criptografia ou dados dos usuários; 
• estratégias para contornar o controle de acesso e permitir a destruição de chaves ou dados; 
• problemas que podem resultar no comprometimento de dados de uma conta, como resultado do roubo de e-mail associado. 

Os tipos de problemas de segurança que não entram nas regras são:

• Questões que necessitam da interação do usuário, como formas de phishing e outros ataques de engenharia social; 
• problemas decorrentes do uso de senhas fracas; 
• questões que exigem um grande número de solicitações do servidor (força bruta); 
• quaisquer problemas que resultam da utilização de máquinas comprometidas por parte do usuário; 
• problemas com relação ao uso de navegador sem suporte ou desatualizado; 
• vulnerabilidades em serviços de terceiros como, por exemplo, os que são geridos por revendedores; 
• problemas com negação-de-serviço; questões que requerem acesso físico aos data centers; 
• questões que envolvem o uso de certificados SSL falsos; 
• deficiências criptográficas que requerem extremo poder computacional para explorar, como a previsão de números aleatórios; 
• ou quaisquer outros bugs que não afetam a disponibilidade, integridade e confidencialidade dos dados do usuário. 

O concurso do Mega já recebeu críticas da comunidade de segurança e criptografia com relação a algumas das decisões de projeto do serviço e afirma que ele não pode cumprir com as suas promessas de segurança e privacidade dos usuários.

Não tão seguroApós o lançamento de serviço de compartilhamento, há duas semanas, especialistas em segurança apontaram várias questões que poderiam ameaçar a segurança do serviço, como a inclusão de hashes de senha em links de e-mails de confirmação da inscrição no serviço, o uso da função hash de criptografia fraca para verificar a integridade do código JavaScript em servidores secundários Mega e a falta de entropia (aleatoriedade) adequada durante o processo de geração da chave de criptografia.

Os criadores do site responderam anteriormente a estas preocupações em um post no blog, reconhecendo algumas das falhas apontadas e descartando outras.

"A criptografia open-source do Mega permanece intacta! Ofereceremos 10 mil euros para quem conseguir quebrá-la", disse Kim Dotcom, nesta sexta-feira (1/2), no Twitter.