Mega dará até 10 mil euros para quem achar falhas no serviço

Mega dará até 10 mil euros para quem achar falhas no serviço

megaO serviço de compartilhamento de arquivos Mega lançou um programa de recompensas que pagará até 10 mil euros (13,6 mil dólares) para cada falha de segurança grave encontrada na plataforma e informada de modo responsável. As regras do programa foram estabelecidas em um post publicado no blog da empresa, no sábado (2/2).

 

Os tipos de bugs que se qualificam para receber uma recompensa são:

  • Injeção de SQL e XSS (cross-site scripting); 
  • falhas que podem resultar na execução de código remoto em servidores do Mega ou em qualquer navegador; 
  • questões que derrubam o modelo de segurança criptográfica do site, resultando em acesso não autorizado a chaves de criptografia ou dados dos usuários; 
  • estratégias para contornar o controle de acesso e permitir a destruição de chaves ou dados; 
  • problemas que podem resultar no comprometimento de dados de uma conta, como resultado do roubo de e-mail associado.

Os tipos de problemas de segurança que não entram nas regras são:

  • Questões que necessitam da interação do usuário, como formas de phishing e outros ataques de engenharia social; 
  • problemas decorrentes do uso de senhas fracas; 
  • questões que exigem um grande número de solicitações do servidor (força bruta); 
  • quaisquer problemas que resultam da utilização de máquinas comprometidas por parte do usuário; 
  • problemas com relação ao uso de navegador sem suporte ou desatualizado; 
  • vulnerabilidades em serviços de terceiros como, por exemplo, os que são geridos por revendedores; 
  • problemas com negação-de-serviço; questões que requerem acesso físico aos data centers; 
  • questões que envolvem o uso de certificados SSL falsos; 
  • deficiências criptográficas que requerem extremo poder computacional para explorar, como a previsão de números aleatórios; 
  • ou quaisquer outros bugs que não afetam a disponibilidade, integridade e confidencialidade dos dados do usuário.

O concurso do Mega já recebeu críticas da comunidade de segurança e criptografia com relação a algumas das decisões de projeto do serviço e afirma que ele não pode cumprir com as suas promessas de segurança e privacidade dos usuários.

Não tão seguro
Após o lançamento de serviço de compartilhamento, há duas semanas, especialistas em segurança apontaram várias questões que poderiam ameaçar a segurança do serviço, como a inclusão de hashes de senha em links de e-mails de confirmação da inscrição no serviço, o uso da função hash de criptografia fraca para verificar a integridade do código JavaScript em servidores secundários Mega e a falta de entropia (aleatoriedade) adequada durante o processo de geração da chave de criptografia.

Os criadores do site responderam anteriormente a estas preocupações em um post no blog, reconhecendo algumas das falhas apontadas e descartando outras.

“A criptografia open-source do Mega permanece intacta! Ofereceremos 10 mil euros para quem conseguir quebrá-la”, disse Kim Dotcom, nesta sexta-feira (1/2), no Twitter.

fonte: http://idgnow.uol.com.br/

Leave a Reply

Your email address will not be published.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Abrir chat
💬 Posso Ajudar?