Se ha publicado una herramienta de cracking diseñada para explotar una vulnerabilidad que afecta a la plataforma “Mega”.
El fallo que la herramienta explota se basa en el envío de hashes de contraseñas en un texto sin formato a través de correo electrónico.
Este es sin duda el fallo más significativo de la plataforma “Mega”, desde su lanzamiento, el pasado 20 de Enero, aunque no fue el único, ya que durante sus primeras horas de vida, se registraron fallos en su funcionamiento.
Aunque la aplicación, inicialmente parece segura, se han descubierto ya muchos fallos de seguridad, que afectan a la plataforma en el momento en el que el mensaje de confirmación de registro se envía a los usuarios.
Se podrían emplear técnicas de cracking sobre estos mensajes de confirmación, llegando a revelar las contraseñas, y permitiendo así el control de las cuentas del os usuarios.
El e-mail de confirmación, a parte de contener el ‘hash’ de una contraseña, contiene también datos confidenciales, como la llave maestra cifrada, utilizada para descifrar archivos almacenados en la cuenta.
Según los expertos, no es muy usual la inclusión de una clave ‘hash’ y una llave maestra cifrada en los e-mails de confirmación. De hecho, en páginas como Netflix, Amazon y Twitter se envían estos tipos de e-mails con enlaces que contienen un valor aleatorio que solo el receptor y el servidor conocen.
Áudea Seguridad de la Información
Departamento Seguridad TIC
Fuente: El Mundo