Mega lobt 10.000 Euro für Hacker aus

CloudData & StorageDeveloperIT-ProjekteSoftwareStorage

Das Schnmitz-Projekt räumt einige Sicherheitsprobleme ein. Die Höhe der Belohnung hängt von den potenziellen Auswirkungen einer Schwachstelle ab. Für erfolgreiche Brute-Force-Angriffe auf Mega winkt der Höchstbetrag.

Der Cloud-Speicherdienst Mega hat Prämien für die Aufdeckung von Sicherheitslücken ausgelobt. Erfolgreichen Bug-Jägern windken bis zu 10.000 Euro Belohnung – abhängig von Komplexität und potenziellen Auswirkungen einer durch sei gefundenen Schwachstelle.

Schon in den ersten Tagen nach seinem Start kam der Dienst wegen Sicherheitsproblemen ins Gerede. Mega hat einige davon eingeräumt und korrigiert, seine Sicherheit aber grundsätzlich verteidigt – die meisten Anschuldigungen hätten sich als “Rohrkrepierer” erwiesen. In einem Interview sprach Bram van der Kolk, bei Mega der zweite Mann hinter Kim Schmitz alias Kim Dotcom und zuständig für Sicherheit und Infrastruktur, von “echten und eher scheinbaren Sicherheitsproblemen”.

Ein Blogeintrag beschreibt die Bugs, für deren Aufdeckung eine Prämie gezahlt wird. Dazu gehören die Ausführung von Programmcode auf den Servern von Mega, auch wenn durch SQL Injection bewirkt, sowie jegliche erfolgreiche Methode, die Zugriffskontrolle zu umgehen und unbefugt Schlüssel oder Nutzerdaten zu überschrieben beziehungsweise zu löschen.

Keine Prämien winken für Schwachstellen, bei denen das Opfer selbst aktiv mitwirken müsste, etwa bei Phishing-Angriffen. Ebenfalls vom “Mega Vulnerability Reward Program” “ausgenommen sind Attacken, die vom Nutzer zu schwach gewählte Passwörter, einen kompromittierten Client-Computer oder einen veralteten Browser voraussetzen.

Die maximale Belohnung verspricht Mega bei erfolgreicher Bewältigung einer “Brute-Force-Herausforderung”. Die erste von zwei Herausforderungen besteht darin, eine bestimmte Datei auf einem Mega-Server zu entschlüsseln. Die zweite fordert zur Entschlüsselung des gehashten Passworts in einer Registrierungsbestätigung auf.

Mega scheint damit die Kritik des Kryptographie-Spezialisten Steve Thomas widerlegen zu wollen. Thomas entwickelte ein Tool namens MegaCracker, das der Entschlüsselung von Passwörtern dienen soll, wie sie in den von Mega zur Registrierungsbestätigung versandten E-Mails eingebettet sind.

[mit Material von Michael Lee, ZDNet.com]