"Investigadores del Departamento de Ciencias de la Computación de la ETH Zurich, Suiza, revisaron la seguridad de MEGA y encontraron problemas significativos en la forma en que utiliza la criptografía", informó Malwarebytes. "Estos hallazgos podrían dar lugar a ataques devastadores a la confidencialidad e integridad de los datos de los usuarios en la nube de MEGA".
MEGA ha tenido múltiples vulnerabilidades en su servicio de almacenamiento en la nube que podrían haber permitido a los actores de amenazas descifrar los datos de los usuarios almacenados de forma cifrada.
Los datos de los servicios de Mega se cifran de extremo a extremo en el lado del cliente utilizando el algoritmo AES, lo que significa que la empresa no conoce las claves de cifrado de los archivos subidos y no puede ver el contenido.
Por esta razón, la empresa afirma que no es responsable del contenido de los archivos subidos.El servicio cuenta con más de 250 millones de usuarios registrados para un total de 120.000 millones de archivos que suman 1000 petabytes de tamaño.
"Además, la integridad de los datos de los usuarios se ve dañada hasta el punto de que un atacante puede insertar archivos maliciosos de su elección que pasen todas las comprobaciones de autenticidad del cliente", se lee en el documento publicado por los investigadores de la ETH Zurich.
La buena noticia es que la empresa no tiene constancia de que se hayan comprometido cuentas o datos de usuarios mediante la explotación de uno de los fallos descubiertos por los investigadores.
MEGA ha solucionado dos vulnerabilidades que pueden ser explotadas por los atacantes para descifrar los datos de los usuarios, ha mitigado la tercera (framing) y solucionará las dos restantes en próximas actualizaciones.