Mega: Cloud-Speicherdienst gelobt absolute Sicherheit für Daten – Forscher widersprechen
Der im Januar 2013 an den Start gegangene Filehoster Mega gilt als Nachfolger von Megaupload und war für mehrere Monate im Besitz seines Gründers, des umstrittenen Internetunternehmers Kim Dotcom. Dotcom warb damit, dass die Daten bei Mega beim Upload verschlüsselt würden und damit besonders sicher seien. Schon im Juli 2015, nach einer angeblich feindlichen Übernahme eines chinesischen Investors, hielt Dotcom dann aber nicht mehr viel von Mega und dessen Sicherheit. Er glaube nicht, „dass eure Daten bei Mega noch sicher sind“, so Dotcom damals. Jetzt haben Forscher:innen bei der aktuellen Mega-Version mehrere Einfallstore gefunden.
Mega gelobt Nutzer:innen volle Datenkontrolle
Noch immer heißt es bei Mega – in einem sogenannten „Gelöbnis“: „Mit Mega haben Sie die Kontrolle über Ihre Daten in der Hand“. Praktisch umgesetzt werden soll diese Datensicherheit durch eine starke Ende-zu-Ende-Verschlüsselung. Dadurch sollen hochgeladene Daten ausschließlich von den Nutzer:innen selbst eingesehen werden können. Mega könne das nicht, so zumindest das Versprechen. Und auch Ermittlungsbehörden und mögliche weitere interessierte Dritte stünden vor verschlossenen Türen. Damit will sich Mega von Konkurrenten wie Dropbox oder Google Drive abheben.
Das Sicherheitsversprechen mag sich ganz gut anhören, entspricht aber offenbar nicht der Wahrheit. Wie Forscher:innen der sogenannten Applied Crypto Group an der ETH Zürich herausfanden, ist es für den Betreiber der entsprechenden Infrastruktur ein Leichtes, die Verschlüsselungs-Keys der Nutzer:innen zu rekonstruieren. Dazu sei lediglich ein mehrmaliges Einloggen der Nutzer:innen notwendig. Entsprechend könnten sich auch Ermittlungsbehörden Zugriff auf die Daten verschaffen. Mega habe bei der Umsetzung seiner Verschlüsselung nicht einmal die grundlegenden Fehler in Sachen kryptographischer Systeme vermieden, schreibt Winfuture.
Forscher:innen zweifeln Sicherheitsversprechen an
Das Mega-System sei nicht in der Lage, seine Nutzer:innen vor einem bösartigen Angriff zu schützen. Insgesamt fünf verschiedene Angriffsmöglichkeiten zeigen die Forscher:innen auf einer eigens eingerichteten Website. Demnach sei es Angreifer:innen etwa möglich, die Authentizitätsprüfungen des Clients zu umgehen und Nutzer:innen bösartige Dateien unterzuschieben. Um die Praktikabilität und Ausnutzbarkeit zu demonstrieren, habe das Team jeweils Proof-of-Concept-Versionen aller Angriffe erstellt.
Mega, dem die Forscher:innen ihre Ergebnisse schon im März 2022 offengelegt hatten, hat mittlerweile einen Patch entwickelt. Am Dienstag wurde ein entsprechendes Update ausgeliefert. Aber: Die Forscher:innen geben zwar zu, dass dadurch die Durchführung von Angriffen erschwert würde. Der Patch sei aber nur ein schnelles Mittel, um den Schlüsselwiederherstellungsangriff zu vereiteln. Andere Probleme würden nicht automatisch mitgelöst. Mega hat über 250 Millionen Nutzer:innen. Die Menge der gespeicherten Daten beläuft sich laut Anbieter auf rund 1.000 Petabyte.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team