Uma nova pesquisa de acadêmicos da ETH Zurich identificou vários problemas críticos de segurança no serviço de armazenamento em nuvem MEGA que podem ser aproveitados para quebrar a confidencialidade e a integridade dos dados do usuário.

Os pesquisadores apontam como o sistema do MEGA não protege seus usuários contra um servidor malicioso, permitindo assim que um agente desonesto comprometa totalmente a privacidade dos arquivos enviados.

Além disso, a integridade dos dados do usuário é danificada na medida em que um invasor pode inserir arquivos maliciosos de sua escolha que passam em todas as verificações de autenticidade do cliente.

A MEGA, que se anuncia como a “empresa de privacidade” e afirma fornecer armazenamento em nuvem criptografado de ponta a ponta controlado pelo usuário, tem mais de 10 milhões de usuários ativos diariamente, com mais de 122 bilhões de arquivos carregados na plataforma até o momento.

O principal entre os pontos fracos é um ataque de recuperação de chave RSA que possibilita que o MEGA ou um invasor engenhoso no controle de sua infraestrutura de API recupere a chave privada RSA de um usuário adulterando 512 tentativas de login e descriptografando o conteúdo armazenado.