世界上最受欢迎的云存储之一(在新标签中打开)服务提供商携带了几个严重的漏洞,这些漏洞使威胁行为者甚至可以读取加密的内容(在新标签中打开)文件,研究人员发现。
苏黎世联邦理工学院的一个团队在 Mega 平台上发现了五个漏洞,这些漏洞围绕着窃取和解密 RSA 密钥(基于 RSA 算法的私钥)。
该团队在今年 3 月下旬发现了这些缺陷,并向公司报告。很快,Mega 发布了一些漏洞的补丁和缓解措施,而对于其他漏洞,补丁仍在进行中。据说这些补丁不会影响用户体验,也不需要用户重新加密他们存储的数据。他们也不需要更改任何密码或创建任何新密钥。
非常适合心怀不满的员工
虽然没有针对所有缺陷的补丁肯定是坏消息,但好消息是 Mega 还没有看到有人在野外利用它们。其余补丁何时发布没有具体时间表。
在对该漏洞的视频解释中,研究人员表示,该攻击依赖于通过比较进行的主要因素猜测,并且攻击者需要至少 512 次登录尝试才能破坏端点(在新标签中打开). 更重要的是,他们还需要访问 Mega 的服务器,这意味着对于外部威胁 - 这些漏洞并不完全可行。
然而,对于内部人士或心怀不满的员工来说,情况就完全不同了。
“看到近十年前看似无害的密码设计捷径在该行业三位最聪明的人的审查下如何适得其反,这既令人恐惧又令人着迷,”梅加在一份声明中说。
“尽管存在广泛的已识别密码缺陷,但可利用性的门槛非常高,这让人松了一口气。”
可以在此链接上找到该漏洞的详细分解和 MEGA 的对策(在新标签中打开).
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.