MEGA: Schwachstelle ermöglicht massenhaften Versand von Spam-Mails

**Ghandy** · 22. 01. 2013, 11:59

Eine bislang unbekannte Schwachstelle in Kim Dotcoms One-Click-Hoster ermöglicht es Angreifern, über MEGA massenhaft E-Mails zu verschicken. Die unzureichende Filterung der Registrierung neuer Benutzer macht es Cyberkriminellen leicht, darüber Spam- oder Phishing-E-Mails zu verschicken. Der Absender der E-Mails bleibt dabei stets MEGA, die Identität der Täter bleibt hingegen verborgen.

zur News

**Nesch385** · 22. 01. 2013, 13:53

Und wo ist da jetzt die dicke "Lücke"? Das einzige Problem was ich sehe ist, dass MEGA weder überprüft, ob es bereits einen User mit dieser E-Mail in Verbindung mit diesem Namen gibt und, dass der Name beliebig lang sein kann und sogar Links enthalten kann.

Der Typ schreibt in seinem Blog, dass er keine genauen Instruktionen geben wird, um diese "Lücke" auszunutzen, aber letztendlich kann das jeder DAU durch reines ausprobieren nachmachen.
Den Bot zu programmieren ist natürlich was anderes, das wird nicht jeder können. Ist allerdings auch nicht wirklich Arbeit.

Sollte natürlich trotzdem schnellstmöglich von MEGA gefixed werden.

**netb90** · 22. 01. 2013, 13:56

Wie war das nochmal? Militärisch abgeschirmt

**Raeven** · 22. 01. 2013, 14:13

Zitat von Nesch385

Und wo ist da jetzt die dicke "Lücke"?

Das so etwas, ein absoluter Anfängerfehler ist und man könnte jetzt mutmaßen, das da noch sehr viele weitere Lücken sind, wenn man so etwas schon vergisst einzubauen

.
Auch ist es sehr peinlich, für das was da seit Monaten großspurig versprochen wurde

.

Zitat von netb90

Wie war das nochmal? Militärisch abgeschirmt

Naja, kommt darauf an welches Militär gemeint war

**Nesch385** · 22. 01. 2013, 14:32

Stimmt wohl, ist wirklich ziemlicher Anfängerfehler.

Finde es trotzdem schlecht formuliert vom Blog.

**godlike** · 22. 01. 2013, 14:58

Zitat von Nesch385

Das einzige Problem was ich sehe ist, dass MEGA weder überprüft, ob es bereits einen User mit dieser E-Mail in Verbindung mit diesem Namen gibt und, dass der Name beliebig lang sein kann und sogar Links enthalten kann

Na wenn es weiter nichts ist

**Ghandy** · 22. 01. 2013, 16:27

Da der Versand von E-Mails über MEGA nicht blockiert wird, ist es auf jeden Fall eine Schwachstelle.

Kim & Co. verfügen aber über genügend finanzielle Ressourcen, sollte jemand tatsächlich juristisch wegen dem massenhaften Versand von Spam-Mails oder Phishing-Mails gegen MEGA vorgehen wollen.

**Nesch385** · 22. 01. 2013, 16:33

Zitat von godlike

Na wenn es weiter nichts ist

Wie gesagt, es ist kein Sicherheitsfehler, der sich aus einem wirklichen Exploit ergibt, es ist einfach nur etwas nicht implementiert worden. Zwei verschiedene Dinge meiner Ansicht nach und die Formulierungen sind dementsprechend nicht passend.

Trotzdem macht es das nicht weniger schlimm, eher im Gegenteil genaugenommen.

**Kaopash** · 22. 01. 2013, 17:32

Zitat von Nesch385

Wie gesagt, es ist kein Sicherheitsfehler,...

Nunja, es ist insofern eine Sicherheitslücke, dass User quasi problemlos anderen Usern schaden können. Ein wenig Dummheit des Empfängers ist dabei natürlich immer vorausgesetzt. Dennoch einfach unschön. Sowas wäre selbst bei Facebook nicht passiert... *hust*

**Raeven** · 22. 01. 2013, 20:24

Nur mal so, wenn es keine Limitirung gibt, könnte man sich dann nicht auch einen benutzernamen machen, der dann selber schon 40 GB (oder mehr) groß wäre? :P

**darkcton** · 22. 01. 2013, 23:19

Ja, es ist ein Anfängerfehler, die Kryptographie wird dadurch nicht unsicher. Da gibt es schon genug andere Probleme mit.

Ich suche immer noch nach der ominösen XSS-Lücke.
Die angeblich auf Twitter gepostete existiert nämlich nicht, und ich konnte persönlich auch noch keine finden.

**avalax** · 23. 01. 2013, 07:13

MEGA angelegte promotion.

gibt es einen schnelleren Weg, DIE Leute von FRÜHER, die für den damaligen Umsatz gesorgt haben, wieder auf die Seite zu locken?

Genau DIE laden doch später auch wieder Dinge hoch, die andere teuer runterladen müssen.

Kommen die Emails denn wirklich bei jemandem an?
oder meckert der Honey-Pot einfach nur nicht bei der vermeintlichen Anwendung eines Exploits?

**PiratenPinky** · 23. 01. 2013, 11:51

Zitat von Raeven

Nur mal so, wenn es keine Limitirung gibt, könnte man sich dann nicht auch einen benutzernamen machen, der dann selber schon 40 GB (oder mehr) groß wäre? :P

Na dann mal los!

**Ghandy** · 24. 01. 2013, 08:36

Bezüglich der Verschlüsselung sind andere Leute da ganz anderer Ansicht als Du.

Wegen der XSS-Lücke würde ich an deiner Stelle den Heiko Frenzel selbst über Twitter kontaktieren.

Anfängerfehler? Kim ist kein Anfänger, das ist auch nicht sein erster Filehoster. Ich kenne ihn noch aus seiner Zeit aus dem Jahr 1994 oder 1993.

Zitat von darkcton

Ja, es ist ein Anfängerfehler, die Kryptographie wird dadurch nicht unsicher. Da gibt es schon genug andere Probleme mit.

Ich suche immer noch nach der ominösen XSS-Lücke.
Die angeblich auf Twitter gepostete existiert nämlich nicht, und ich konnte persönlich auch noch keine finden.

**privet** · 25. 01. 2013, 00:36

musste grad festellen das man sogar urls uploaden kann und da wundert der sich warum seine server überlastet sind...

wenn jemand ein backup von youtube haben will oder paar porn seiten wär das kein probelm mehr da man ja sogar relativ einfach freeaccs erstellen kann

Videos · 25. 01. 2013, 08:00

Jeder einigermaßen anständige, nicht mal guter, Hoster lässt Dich per URL hoch laden. Du glaubst offensichtlich, Du gibst dort youtube.com ein und alles wird hochgeladen, ja? Viel Spass dabei youtube in 40GB (Dein Freeacc) zu pressen. Wird dann wohl ne Lebensaufgabe werden.