Sicherheit beim Filehoster Mega - Master-Key auslesbar, theoretisch auch von Mega selbst

Ein Software-Entwickler weist auf mögliche Sicherheitsrisiken des Filehosters Mega hin.

Software-Entwickler Michael Koziarski hat laut Torrentfreak ein kleines Javascript-Tool geschrieben, das auf einem Rechner den Master-Key von Mega auslesen kann, den ein Nutzer für seine Daten dort verwendet. Der Schlüssel ist laut Koziarski auf dem Rechner lokal nicht verschlüsselt und kann daher einfach ausgelesen werden. Das bedeute seiner Ansicht nach auch, dass der Filehoster selbst den Schlüssel auslesen und auf alle Dateien Zugriff erlangen könnte, da Javascript von Mega im Browser ausgeführt werde.

Doch diesen Überlegungen widerspricht Bram Van der Kolk von Mega, der sich trotzdem für die Hinweise auf potentielle Risiken bedankt. Für das Tool von Koziarski sei physischer Zugriff auf den Rechner notwendig. Dann könnte aber auch beliebige andere Software, beispielsweise ein Keylogger, installiert werden. Das Sicherheitsproblem sei dann allumfassend und nicht auf Mega beschränkt. Auch der Vorwurf, dass Mega durch veränderten und an den Browser versendeten Code den Schlüssel auslesen könnte, lässt Van der Kolk nur theoretisch gelten. Dies würde seiner Ansicht nach sicher bemerkt werden und so sämtliches Vertrauen in Mega zerstören.

Außerdem gäbe es für Chrome und bald auch Firefox eine Erweiterung, die den kompletten Mega-Code lokal speichert. Es reiche also, eine sicherheitsüberprüfte Version davon zu installieren und automatische Updates zu deaktivieren. Dann gäbe es für Mega auch keine theoretische Möglichkeit mehr, ein Hintertürchen für das Auslesen des Codes zu nutzen.