Čtvrt milionu korun za hack úložiště Mega

Krátce po spuštění následovníka FBI zrušeného MegaUploadu, datového úložiště Mega vyhlásil Kim Dotcom soutěž o hacknutí jeho nového systému. A odměna je více než lákavá. Komu se podaří prolomit zabezpečení serveru, si může od Dotkomaova týmu vydělat až 10.000 Euro, tedy zhruba čtvrt milionu korun.

Dotkom vcelku sebevědomě představuje svoje úložiště jako absoluteně bezpečné a perfektně ochráněné. Funguje plně v cloudu, k užívání není zapotřebí žádné přídavné aplikace, vše funguje v prohlížeči. A právě to je moment, na který řada lidí z oblasti bezpečnosti upozorňuje. Ihned po oznámení bezpečnostní politiky Mega se na webu objevila řada článků zpochybňující bezpečnost a hlavně zkušenosti tvůrců. Na některé z chyb (i když vcelku nepřesně), upozornil i časopis Forbes. Jeden z respondentů se dokonce vyjádřil, že jak vidí kód, připadá mu jako by ho programoval tak před dvěma lety a ještě při tom byl opilý. Faktem, však je, že se objevilo i několik reálných chyb. Jednu z nich, konkrétně XSS objevil ve flashovém souboru určenému ke stahování i bezpečnostní analytik Frans Rósen. A hned za svůj objev dostal 1000 Euro.

Takže co zkusit něco takového také? Za co všechno Dotkom odměňuje?

• Vzdálené spuštění kódu na některém z Mega serverů (včetně SQL injection)
• Vzdálené spuštění kódu na každém klientském prohlížeči (např. prostřednictvím XSS)
• Každý problém, který porušuje kryptografický bezpečnostní model a umožňuje neoprávněný vzdálený přístup nebo manipulaci s klíči nebo daty
• Každý problém, který obchází kontroly přístupu, který umožňuje např. neoprávněné přepsání/zničení klíče nebo uživatelských dat
• Každý problém, který ohrožuje účtu data v případě, kdy je prozrazena (např. pomicí sociálního inřenýrinku) e-mailová adresa majitele souboru

A naopak co se „nehonoruje“? Mezi jinými například:

• Útoky realizovanévyžadující ktivní účast obětí, například phishing nebo sociální inženýrství
• Útoky využívající slabá nebo předvídatelná hesla uživatelů.
• Útoky typu DDOS, zahlcování serveru požadavky atd…
• Útoky, které využijí kompromitovaný počítač uživatele
• Útoky využívající bezpečnostních děr zastaralých a neaktualizovaných prohlížečů
• Útoky vyžadující fyzický přístup k serverům Mega

A speciální bonus je naopak určen těm, kdo prolomí např. pomocí brzte-force následující dvě URL:

• Odhalte klíč, který dešifruje tento soubor: https://mega.co.nz/#!FV4zmLKQ 
• Odhalte heslo zakódované v tomto potvrzovacím odkazu