AfterDawn: Nieuws

De MEGA Bug-hunt heeft tot nu toe 7 veiligheidslekken opgeleverd

Geschreven door Marco Korthout @ 11 feb. 2013 11:51

De MEGA Bug-hunt heeft tot nu toe 7 veiligheidslekken opgeleverd Kim Dotcom lanceerde een dikke week geleden zijn Mega Hack Bounty Programma, waarmee hackers geld konden verdienen voor gevonden veiligheidsgaten. Hij biedt €10,000 per succesvolle hack of onthulling van een veiligheidsgat in de nieuwe MEGA-service.
Een uitstekende manier om tegen betaling hackers uit te dagen de laatste foutjes uit je programma of service te halen. Google doet ieder jaar hetzelfde met haar Google's Pwnium Contest.

Het daadwerkelijk bedrag dat wordt uitbetaald is afhankelijk van de veiligheidsgraad van de ontdekte bug. Hoeveel en aan wie Dotcom betaald heeft is niet bekend gemaakt.

Er zijn zes "severity class" gevoeligheden waarop hackers zich kunnen richten, class I aan de ene kant met lage impact of "puur theoretische scenario's" tot aan de meer exploitable cryptografische ontwerpfouten aan de andere kant - class VI.

De resultaten tot nu toe: zeven ontdekte veiligheidsgaten, twee Class I, één Class II, drie Class III en één Class IV.



Hieronder de details...

Class I vulnerabilities:
  • HTTP Strict Transport Security header was missing. Fixed. Also, mega.co.nz and *.api.mega.co.nz will be HSTS-preloaded in Chrome.
  • X-Frame-Options header was missing, causing a clickjacking/UI redressing risk. Fixed.
Class II vulnerabilities:
  • XSS through strings passed from the API server to the download page (through three different vectors), the account page and the link export functionality. Mitigating factors – apart from the need to control an API server or successfully mounting a man-in-the-middle attack –: None. Fixed within hours.
Class III Vulnerabilities:
  • XSS through file and folder names. Mitigating factors: None. Fixed within hours.
  • XSS on the file download page. Mitigating factors: Chrome not vulnerable. Fixed within hours.
  • XSS in a third-party component (ZeroClipboard.swf). Mitigating factors: None. Fixed within hours
Class IV vulnerabilities:
  • Invalid application of CBC-MAC as a secure hash to integrity-check active content loaded from the distributed static content cluster. Mitigating factors: No static content servers had been operating in untrusted data centres at that time, thus no elevated exploitability relative to the root servers, apart from a man-in-the-middle risk due to the use of a 1024 bit SSL key on the static content servers. Fixed within hours.


MEGA geeft aan vooral door te gaan met de uitdaging, er is geen deadline.
Alleen bestaat er natuurlijk kans dat een ander de bug eerder vindt dan jij.

Mega blog

Vorige Volgende  
Op dit artikel kun je niet reageren.

Nieuwsarchief