Mega.co.nz wysyła hash hasła użytkownika otwartym tekstem

dodał 23 stycznia 2013 o 07:13 w kategorii Prywatność, Wpadki  z tagami:
Mega.co.nz wysyła hash hasła użytkownika otwartym tekstem

Nowy serwis założyciela MegaUploadu, obwoływany przez jego twórcę, Kima Dotcoma, miejscem zapewniającym prywatność użytkownika, nie do końca realizuje swoje założenia, stosując dalekie od standardów praktyki zarządzania hasłem klienta.

W momencie rejestracji nowy użytkownik serwisu Mega.co.nz otrzymuje na swoją skrzynkę pocztową link w postaci

Steve „Sc00bz” Thomas, analityk, który odkrył problem, ustalił, że w tym linku znajduje się hash hasła użytkownika. Jeśli przekształcimy powyższy ciąg z base64 w hex, otrzymamy

Kolejne elementy tego ciągu to z kolei:

  • (70491be7c3858d0698b282b993d5ed69) – hasło użytkownika zahashowane funkcją AES
  • (ba7fd1c38b5a5073ef73679eb9c7bd48) – adres email w formacie heksadecymalnym
  • (63797275732e6661726976617240617273746563686e6963612e636f6d) – nazwa użytkownika w tym samym formacie.

Odkrywca problemu opracował również i opublikował narzędzie MegaCracker, umożliwiające łamanie hasha hasła wysyłanego przez Mega. Co prawda wydajność tego procesu nie jest imponująca (nie przekracza kilkuset haseł na sekundę, choć można do tego samego zadania użyć lepszych narzędzi o większej wydajności), to sama możliwość odgadnięcia hasła jest niepokojąca. Dodatkowo hasło nie jest solone przez zahashowaniem, zatem możliwe są dużo szybsze ataki z użyciem tablic tęczowych.

Czemu przesyłanie hasha hasła jest niebezpieczne? Przecież trafia on jedynie na skrzynkę email użytkownika? Odpowiedź jest dość prosta. Po pierwsze, hash hasła nie powinien nigdy opuszczać serwera, na którym następuje jego weryfikacja. Po drugie, podstawowy protokół poczty elektronicznej nie przewiduje szyfrowania treści wiadomości, zatem możliwe jest jej przechwycenie przez stronę trzecią, podsłuchującą połączenie. Po trzecie możliwe są ataki, które dają szansę na odzyskanie hasła słownikowego lub o niskim poziomie złożoności.

Kim Dotcom obiecywał, że jego serwis będzie dbał o prywatność użytkowników. Wygląda jednak na to, że Mega ma za cel przede wszystkim zapewnić spokojny sen swoim twórcom, nie dbając jednocześnie o taką samą potrzebę po stronie klientów.