In der Sicherheitsarchitektur des neuseeländischen Cloud-Anbieters
Mega – laut eigenem Versprechen der "vertrauenswürdigste und am stärksten geschütze Cloudspeicher" – klaffte bis vor Kurzem eine erhebliche Lücke, wie Forschende der ETH herausgefunden haben. Genauer geht es um die Verschlüsselung, die nicht hieb- und stichfest war, wie die Sicherheitsforscher um ETH-Professor Kenneth Paterson in einem
Blogbeitrag schildern. Mega verspricht seinen Kunden, die auf seinen Servern gespeicherten Daten vollständig zu verschlüsseln. Dies ist, wie es weiter heisst, nicht nur zum Schutz vor Zugriffen durch den Cloud-Anbieter selbst, sondern auch durch Drittparteien wie Geheimdienste oder Hacker hochrelevant.
Die ETH-Spezialisten bauten für ihre Arbeit einen Teil der Mega-Cloud-Architektur nach, nutzten diese für Penetration Tests und analysierten den Quellcode des Anbieters. Dabei fanden sie mehrere Lücken, mit denen Angreifer nicht nur Kundendaten entschlüsseln, sondern auch Daten verändern oder neue Daten im Cloud-Speicher ablegen können. So konnte etwa nachgewiesen werden, dass die privaten RSA-Schlüssel (RSA-Kryptosystem, ein asymmetrisches kryptographisches Verfahren) mit einem Trick einfach gestohlen werden können.
Die Forschenden haben die Lücken bei
Mega gemeldet und einen dreistufigen Plan vorgelegt, wie die Probleme zu beheben wären. Mega hat halb eingelenkt: Den ETH-Massnahmenplan hätte das Unternehmen zwar ignoriert, die Lücke für den Diebstahl von RSA-Keys jedoch selbst mit anderen Mitteln geschlossen.
(win)