Si ustedes recuerdan hace poco Kim Dotcom anunció que pagaría a quienes encontraran vulnerabilidades importantes en MEGA su servicio de almacenamiento seguro en la nube. La tentadora oferta desde luego motivo a los expertos que se pusieron manos a la obra y pasaron a cobrar su respectivo cheque. Mega además lanza una extensión para mejorar su compatibilidada con Mozilla Firefox.
MEGA ha logrado que los expertos en seguridad le reporten hasta ahora siete vulnerabilidades, las cuales han sido corregidas poco después de ser informadas y calificadas, algunas más serias que otras pero que cualificaron para el pago correspondiente por parte de Dotcom.
Mega ha listado seis tipos de vulnerabilidades, que van en orden ascendente según el nivel de seguridad comprometida, lógicamente una vulnerabilidad de nivel 6 es la más peligrosa y por la que más paga Mega.
De las siete vulnerabilidades encontradas en Mega, la mayoría de ellas fue de nivel 3 y 4 y una sola de nivel 6 que entra en la categoría de defectos en el sistema criptográfico, el cual puede ser explotado sólo luego de comprometer la infraestructura de servidores y otra de nivel 1.
Dotcom ha confirmado que un experto llamado Frans Rosen se embolso €1000 o US$ 1337 por una vulnerabilidad XSS (covers cross-site scripting) que está dentro de las vulnerabilidades de nivel 3. Este monto es prácticamente lo mismo que paga Google por este tipo de vulnerabilidades.
Mega + Firefox = <3:
Cuando se lanzo MEGA, este solo funcionaba a su 100% con el navegador Google Chrome, dejando de lado otros navegadores populares entre ellos Firefox, ahora Mega ha lanzado un add-on para que los usuarios de Firefox puedan descarga de mejor forma con Firefox.
Este add-on no está disponible en la página de complementos de Mozilla, sin embargo, cuando un usuario entra a Mega con su cuenta desde Firefox, el sistema ofrecerá automáticamente la opción e instalar el add-on para una mejor experiencia de descarga.
La razón por la que Mega no funciona del todo bien con Firefox en la descarga de archivos es debido a que Firefox no soporta la escritura de archivos desde JavaScript, Mega necesita esto debido a que los archivos son almacenados encriptados y solo pueden ser desencriptados localmente y es aquí donde entra a jugar el soporte de escritura mediante JavaScript.
Google soporta completamente esta característica, Firefox ahora lo soporta mediante este add-on. El otro navegador que soporta la escritura mediante JavaScript es Internet Explorer 10, sin embargo, sólo lo permite para archivos almacenados en la memoria RAM, no en el disco duro como lo requiere Mega. Por su parte Opera y Safari no soportan escritura de archivos mediante JavaScript.
Dotcom indica que seguirá con este programa de incentivos para seguir mejorando la seguridad de Mega y que parchará las vulnerabilidades tan rápido como sean reportadas.
[SP1] [SP2] [SP3] [SP4] @Kim Dotcom