Yeni Ortaya Çıkan Kanıtlar, MEGA’nın Dosyaları Şifrelemediğini Gösteriyor

ETH Zurich araştırmacıları tarafından keşfedilen bulgular, MEGA.nz‘nin belgeleri tam manasıyla kâfi formda şifrelemediğini gösteriyor.

Bulut depolama servislerinin önde gelenlerinden MEGA, birçok kimse tarafından zımnilik ve uçtan uça şifrelemeye sahip olması nedeniyle tercih ediliyordu. Şirketin kendisi kullanıcıların evraklarına kendileri de dahil olmak üzere kimsenin müsaadesiz erişemeyeceğini söylüyordu. Ama servisin şifreleme sisteminde ortaya çıkan güvenlik açığı gösteriyor ki tam zıddı bir durum kelam konusu.

Araştırmacılara nazaran MEGA tarafından kullanılan şifreleme mimarisi, saldırganların kâfi sayıda oturum açma sonrasında “anahtar kurtarma saldırısı” uygulamasına imkan veriyor. Böylelikle makûs niyetli kimseler kullanıcılara ilişkin kelamda “şifrelenmiş” evrakları çözebiliyor, hesaba pek olağan halde belgeler yükleyebiliyor. Kimi güvenlik otoriteleri bunun şuurlu olarak bırakılmış bir art kapı olabileceğini düşünüyor.

ETH Zurich tarafından yayınlanan kavram kanıtında emsal formda data kapalılığını tehdit eden tam 5 taarruz tekniğinin mevcut olduğunun da altı çiziliyor. Durum MEGA’ya Mart ayında bildirildikten sonra bir güncelleme yayınlanmış olsa da yalnızca süreksiz bir tahlil olduğu ve açıkların büsbütün kapatılmasında işe yaramayacağı araştırmacılar tarafından belirtildi.