Cloud-Anbieter Mega: Massive Sicherheitsprobleme bei der Verschlüsselung
Quelle: Mega

Cloud-Anbieter Mega: Massive Sicherheitsprobleme bei der Verschlüsselung

Mit einigen Tricks liessen sich beim Cloud-Anbieter Mega Keys zur Datenverschlüsselung stehlen. Damit konnten Angreifer Userdaten manipulieren und neue Daten in der Cloud des Kunden platzieren.
22. Juni 2022

     

In der Sicherheitsarchitektur des neuseeländischen Cloud-Anbieters Mega – laut eigenem Versprechen der "vertrauenswürdigste und am stärksten geschütze Cloudspeicher" – klaffte bis vor Kurzem eine erhebliche Lücke, wie Forschende der ETH herausgefunden haben. Genauer geht es um die Verschlüsselung, die nicht hieb- und stichfest war, wie die Sicherheitsforscher um ETH-Professor Kenneth Paterson in einem Blogbeitrag schildern. Mega verspricht seinen Kunden, die auf seinen Servern gespeicherten Daten vollständig zu verschlüsseln. Dies ist, wie es weiter heisst, nicht nur zum Schutz vor Zugriffen durch den Cloud-Anbieter selbst, sondern auch durch Drittparteien wie Geheimdienste oder Hacker hochrelevant.


Die ETH-Spezialisten bauten für ihre Arbeit einen Teil der Mega-Cloud-Architektur nach, nutzten diese für Penetration Tests und analysierten den Quellcode des Anbieters. Dabei fanden sie mehrere Lücken, mit denen Angreifer nicht nur Kundendaten entschlüsseln, sondern auch Daten verändern oder neue Daten im Cloud-Speicher ablegen können. So konnte etwa nachgewiesen werden, dass die privaten RSA-Schlüssel (RSA-Kryptosystem, ein asymmetrisches kryptographisches Verfahren) mit einem Trick einfach gestohlen werden können.
Die Forschenden haben die Lücken bei Mega gemeldet und einen dreistufigen Plan vorgelegt, wie die Probleme zu beheben wären. Mega hat halb eingelenkt: Den ETH-Massnahmenplan hätte das Unternehmen zwar ignoriert, die Lücke für den Diebstahl von RSA-Keys jedoch selbst mit anderen Mitteln geschlossen. (win)


Weitere Artikel zum Thema

Datenhoheit - was heisst das?

4. Juni 2022 - Daten sind das Gold des 21. Jahrhunderts und verdienen entsprechenden Schutz – besonders in der Cloud eine grosse Herausforderung. Wie Schweizer Unternehmen dieses Gold schützen können und welche Pflichten es einzuhalten gilt.

Swisscows bietet neu verschlüsselte E-Mails

15. Februar 2022 - Die Schweizer Suchmaschinen-Alternative Swisscows lanciert einen neuen E-Mail-Dienst, der mit End-to-End-Verschlüsselung aufwartet. Die Basisversion des Dienstes ist kostenlos erhältlich.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER