ETH Zürih’teki akademisyenler tarafından yapılan bir araştırmada, MEGA bulut depolama hizmetinde kullanıcı verilerinin gizliliğini ve bütünlüğünü kırmak için kullanılabilecek kritik güvenlik sorunları bulundu.
Uzmanlar, MEGA’nın sisteminin kullanıcılarını kötü niyetli bir sunucuya karşı nasıl korumadığını ve böylece bir siber tehdit aktörünün yüklenen dosyaların gizliliğini tamamen tehlikeye atmasına olanak sağladığını belirtti.
Akademisyenler, ‘’Ayrıca, bir saldırganın istemcinin tüm özgünlük kontrollerini geçen kötü niyetli dosyaları ekleyebileceği ölçüde kullanıcı verilerinin bütünlüğü zarar görüyor.’’ dedi.
Kendisini ‘gizlilik şirketi’ olarak tanıtan MEGA, 122 milyardan fazla dosya ile günlük 10 milyondan fazla aktif kullanıcıya sahip olduğu da gelen bilgiler arasında yer aldı.
MEGA’nın baş mimarı Mathias Ortmann bütün bunlara yanıt olarak, ‘’Hedeflenen bir hesap yeterince başarılı oturum açtıktan sonra gelen paylaşılan klasörler MEGAdrop dosyaları ve sohbetlerin şifresi çözülebilirdi. Bulut sürücüdeki dosyaların şifresi, sonraki oturum açmalar sırasında art arda çözülmüş olabilir.’’ şeklinde konuştu.
Araştırmacılar, ‘’Her kullanıcının için verileri şifrelemek, diğer kullanıcılar ve MEGA tarafından kullanılan bir genel RSA anahtarı ve kullanıcı tarafından kendileriyle paylaşılan verilerin şifresini çözmek için özel bir anahtarı vardır. Bu siber saldırılar ile MEGA, pratik olmayan sayıda oturum açma girişimi gerektirse de bu RSA şifreli metinlerinin şifresini çözebilir.’’ ifadelerini kullandılar.
Siber saldırılar, MEGA veya benzer dosyaları yüklemek ve kurbanın sahip olduğu, onunla paylaşılan tüm dosya ve klasörlerin yanı sıra değiş tokuş edilen sohbet mesajlarının şifresini çözmek için çekirdek altyapısını kontrol eden herhangi bir varlık tarafından silahlandırılabileceğini gösterdi.
Eksiklikler, MEGA’nın siber güvenlik garantilerini baltaladıkları için oldukça ciddi görünüyor. Şirketi buna bağlı olarak güncelleme yapmaya yönlendirdiği vurgulanıyor.
