Cryptograaf Steve Thomas heeft MegaCracker gelanceerd waarmee de wachtwoorden van gebruikers van de nieuwe cloudopslagdienst Mega kunnen worden gekraakt, meldt Ars Technica. De methode maakt gebruik van een aantal security-missers van Mega in het registratieproces.

Hashes in platte tekst

MegaCracker pakt de registratielink die Mega verstuurt naar nieuwe gebruikers en converteert die regel naar hexadecimale code die uit verschillende strings bestaat. De strings bevatten het gehashte wachtwoord, hexes van het e-mailadres, de gebruikersnaam en nog elementen die de cryptograaf nog niet heeft ontcijferd.

Gebruikers van de tool moeten zelf wel een dictionary-file toevoegen voor een brute force-aanval, maar daar zijn diverse modules voor te vinden. Het versturen van wachtwoordhashes en zelfs de private key in platte tekst wordt, gezien de brede beschikbaarheid van crackingtools, als onveilig beschouwd.

Versleuteling met JavaScript

Ars Technica verwacht dat Mega de komende weken zijn beveiligingsmethoden opschroeft nadat meer kritiek naar buiten komt op de security-issues van de opslagdienst. Bij het openstellen van Mega dook er bijvoorbeeld een cross-site scripting-gat op. Ook zijn er zorgen over de clientside-versleuteling die Mega hanteert.

Deskundigen wijzen op de veiligheidsrisico's van versleutelen in de browser via JavaScript in plaats van een dedicated programma. De nieuwsdienst van Webwereld-uitgever IDG adviseert gebruikers om een beetje gezonde scepsis te tonen als het op de SSL-versleuteling van Mega aankomt. Deze encryptiemethode is namelijk vatbaar voor man-in-the-middle-aanvallen via SSL-stripping.