Mega schreibt 10.000 Euro für Hack seines Dienstes aus

Der Megaupload-Nachfolger Mega hat Prämien für die Aufdeckung von Sicherheitslücken in seinem Cloud-Schließfachdienst ausgelobt, der sich noch in der Betaphase befindet. Bis zu 10.000 Euro Belohnung winken erfolgreichen Bug-Jägern, abhängig von Komplexität und potenziellen Auswirkungen einer Schwachstelle.

(Bild: Mega)

Schon in den ersten Tagen nach seinem Start kam der Dienst wegen teilweise eklatanter Sicherheitsprobleme ins Gerede. Mega hat einige eingeräumt und korrigiert, seine Sicherheit aber grundsätzlich verteidigt – die meisten Anschuldigungen hätten sich als „Rohrkrepierer“ erwiesen. In einem Interview sprach Bram van der Kolk, der zweite Mann hinter Megaupload-Gründer Kim Schmitz alias Kim Dotcom, von „echten und eher scheinbaren Sicherheitsproblemen“.

Ein Blogeintrag beschreibt die Bugs, für deren Aufdeckung eine Prämie infrage kommt. Dazu gehören die Ausführung von Programmcode auf den Servern, auch wenn durch SQL Injection bewirkt, sowie jegliche erfolgreiche Methode, die Zugriffskontrolle zu umgehen und unbefugt Schlüssel oder Nutzerdaten zu überschreiben beziehungsweise zu löschen.

Keine Prämien winken für Schwachstellen, bei denen das Opfer selbst aktiv mitwirken müsste wie etwa bei Phishing-Angriffen. Ebenfalls vom „Mega Vulnerability Reward Program“ ausgenommen sind beispielsweise Attacken, die vom Nutzer zu schwach gewählte Passwörter, einen kompromittierten Client-Computer oder einen veralteten Browser voraussetzen.

Die maximale Belohnung verspricht der Cloud-Speicherdienst bei erfolgreicher Bewältigung einer „Brute-Force-Herausforderung“. Die erste von zwei Herausforderungen besteht darin, eine bestimmte Datei auf einem seiner Server zu entschlüsseln. Die zweite fordert zur Entschlüsselung des gehashten Passworts in einer Registrierungsbestätigung auf. Mega scheint damit die Kritik des Kryptographie-Spezialisten Steve Thomas widerlegen zu wollen. Thomas entwickelte ein Tool namens MegaCracker, das der Entschlüsselung von Passwörtern dienen soll, wie sie in den zur Registrierungsbestätigung versandten E-Mails eingebettet sind.

[mit Material von Michael Lee, ZDNet.com]

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

3 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

4 Tagen ago