Dotcom verspricht für MEGA-Hack 10.000 Euro

**Julian_** · 02. 02. 2013, 17:31

Kim Dotcom versucht erneut, unter Beweis zu stellen, dass sein neuer Filehoster MEGA absolut sicher sei. Nun verspricht der gebürtige Deutsche demjenigen, dem es gelingt, die Verschlüsselung des Dienstes zu knacken, 10.000 Euro. Seit dem Release der Webseite meldeten sich immer wieder IT-Experten zu Wort, die Sicherheitslücken in der Architektur des Dienstes finden konnten.

zur News

**BoehzerOnkel** · 02. 02. 2013, 17:54

dass sein neuer Filehoster MEGA absolut sicher sei.

Ich dachte, sowas gäbe es nicht....

**Unregistriert1** · 02. 02. 2013, 18:06

"O" "M" "G" ...

Sicher ?! Hackbar ?! Oder ist die Frage: wer hat die wenigste Ahnung!

Grundprinzipien sind nun mal grundlegend und bis dato kaum widerlegt: Es gibt nur eine Verschlüsselung die "unknackbar" ist - alles andere ist eine Frage des: je größer das sssit, desto größer das wuuums!

"Laut Woodward sei es allerdings Organisationen wie dem FBI durchaus zuzutrauen, derartige Barrieren umgehen zu können."

An dieser Stelle sei auf die brain.exe verwiesen. Wenn diese uptodate ist, kann niemand auf der Welt die Chiffrierung "hacken"!

Und für den Rest, für den sich angeblich da FBI und Co nicht so interessieren, wird die Chiffrierung von Mega schon reichen - wenn man das überhaupt benötigt ...

und wozu eigentlich ???

**azzmazter** · 02. 02. 2013, 18:11

Mensch ist Stefan Raab fett geworden....

**BonePatrol** · 02. 02. 2013, 18:11

Zitat von Unregistriert1

"O" "M" "G" ...
Und für den Rest, für den sich angeblich da FBI und Co nicht so interessieren, wird die Chiffrierung von Mega schon reichen - wenn man das überhaupt benötigt ...

und wozu eigentlich ???

Perfekt um meine Foto- u. Videoerinnerungen welche ab 18 sind nicht auf meinem Rechner etc. aber trotzdem sicher online zu speichern

**Unregistriert1** · 02. 02. 2013, 18:15

Zitat von BonePatrol

... trotzdem sicher online zu speichern

"Sicher" ist kein Zustand, es ist lediglich eine Ansicht.

**BonePatrol** · 02. 02. 2013, 19:00

Zitat von Unregistriert1

"Sicher" ist kein Zustand, es ist lediglich eine Ansicht.

Ja, ich weiß schon. Das wirklich einzig sichere ist der Tod....aber wat solls....

**Boesmann** · 02. 02. 2013, 19:26

Zitat von Gulli:News

(...) ob auch die Ausnutzung von XSS-Lücken zur Umgehung der Codierung gültig sei. Klarheit konnte der MEGA-Chef in diesem Punkt bislang noch nicht schaffen.

Und auf dem in derselben(!) News verlinkten Mega-Blogeintrag steht:

Zitat von Mega

What types of bugs qualify?
(...)
Remote code execution on any client browser (e.g., through XSS)

Nicht das erste Mal, dass ich mich frage, wer sich hier eigentlich lächerlich macht

**N8wolf** · 02. 02. 2013, 19:32

ui doll kleines Kimilein

Es wird nicht an der Krypthographie kritisiert sondern an dem restlichen Zeug. Datenschutz, Websecurity usw.

Nicht an einem Verschlüsselungsalgo. Auf deine 10k pfeife ich wenn ich den Knacke, dann mach ich das dicke Geld :-) gibt lokrativere Ziele als dich und deine Scam Seite.

Ich finde es leider sehr traurig das du so hoch gepushed wirst. Aber ist nur eine persönliche Meinung, aber die Aussage von dir zeigt mal wieder das du nicht einmal die Kritik liest. Biete mal 10k für die Person die eine Lücke auf deiner Seite findet. Gab ja schon ein paar nette "5 Minutes of Fame" Angriffe.

**TheOnlyOne6520** · 02. 02. 2013, 19:37

Zitat von BonePatrol

Ja, ich weiß schon. Das wirklich einzig sichere ist der Tod....aber wat solls....

So "sicher" ist der Tod aber nicht.

Es ist nur relativ wahrscheinlich das man mal stirbt, aber "sicher" ist es erst dann wenn man tod ist, was einem spätestens dann ziemlich egal sein kann.

Als "sicher" könnte man bezeichnen das es zum entschlüsseln schlichtweg zu lange dauert.

Es ist dabei natürlich nicht auszuschließen das jemand aus purem Zufall exakt den richtigen Schlüssel nutzt, das ist denkbar, aber eben sehr unwahrscheinlich.

Andere Sache wären Quantencomputer usw. , sehr viele Sicherheitsdinge basieren schlichtweg darauf das sie möglichst "aufwendig" sind und mit der gängigen Technik einfach viel zu lange dauern würde das zu Bruteforcen.

Hat man aber einen extrem paralellen Rechner sieht es schon etwas anders aus.

Quantencomputer gibt es zwar schon (in gewisser weiße), aber die sind alles andere als "brauchbar" im moment.

Viel wahrscheinlicher als die Verschlüsselung zu "knacken" ist sie zu umgehen.

Irgendeine Fehlfunktion im Javascript finden mit der man den Schlüssel bekommt oder oder oder, mit Sicherheit lässt sich "irgendetwas" finden wenn man nur lange genug sucht.

Aber 10.000 euro sind jetzt nicht gerade viel um sich so eine riesen Arbeit zu machen.

ui doll kleines Kimilein

Nicht an einem Verschlüsselungsalgo. Auf deine 10k pfeife ich wenn ich den Knacke, dann mach ich das dicke Geld :-) gibt lokrativere Ziele als dich und deine Scam Seite.

Ich finde es leider sehr traurig das du so hoch gepushed wirst. Aber ist nur eine persönliche Meinung, aber die Aussage von dir zeigt mal wieder das du nicht einmal die Kritik liest. Biete mal 10k für die Person die eine Lücke auf deiner Seite findet. Gab ja schon ein paar nette "5 Minutes of Fame" Angriffe.

Ist ja nicht unüblich das man Geld verspricht für Leute die Sicherheitslücken melden.

Das macht auch sinn, den es gibt mehr als genug "White-hats" die solche Lücken nicht negativ ausnutzen, es motiviert aber vielleicht ein paar die zur schwelle zum Kriminellen stehen es doch zu melden, anstatt auszunutzen.

Das hat auch alles einen Sinn und eine gemeldete Sicherheitslücke ist das allemal wert.

Macht Google und co. ja auch so, da steckt also erstmal nichts böses dahinter.

Dem mega Service an sich kann man jetzt auch echt nichts "böses" unterstellen, unabhängig davon ob man den betreiber mag oder nicht, das es "gepusht" wird ist auch klar, das macht ja schließlich jeder so, sei es Apple, Microsoft, Google, einfach jeder pusht sich ins rechte licht und macht Werbung, das kann man keinem vorwerfen, den es funktioniert ja auch offensichtlich, gerade wenn man "kostenlose" Werbung bekommt durch Berichte und Artikel.

Videos · 03. 02. 2013, 01:25

Zumindest die Verschlüsselung braucht niemand "hacken". Der Schlüssel wird ja im Link mitgeliefert. Ich glaube das wird ihm das Genick brechen, aber seis drum.

Hier: http://insidemega.com/megas-instras-sql-injection-fail/

**Malicus** · 03. 02. 2013, 13:34

Wie bekommt man (fast) kostenlos Werbung in den Medien?
Fragt mal Kim.

**Munro24** · 03. 02. 2013, 15:41

Kim Dotcom
gebürtiger Deutscher
Multimillionär
Dotcom
MEGA-Chef

Filehoster MEGA
Dienst
Webseite
Kim Dotcoms MEGA
neuseeländisches Unternehmen
Dienst MEGA
Dotcoms neues Projekt
Hoster

Sonst geht's noch? Und wo lernt man so eine Schreibe?

**accC** · 03. 02. 2013, 18:02

Zitat von Julian_

Kim Dotcom versucht erneut, unter Beweis zu stellen, dass sein neuer Filehoster MEGA absolut sicher sei. Nun verspricht der gebürtige Deutsche demjenigen, dem es gelingt, die Verschlüsselung des Dienstes zu knacken, 10.000 Euro. Seit dem Release der Webseite meldeten sich immer wieder IT-Experten zu Wort, die Sicherheitslücken in der Architektur des Dienstes finden konnten.

zur News

Unter der Voraussetzung, dass man perfekten Zufall erzeugen kann, dann ist es durchaus möglich eine perfekte Verschlüsselung zu erstelllen. Selbst bei Pseudo-Zufall ist es möglich eine hinreichend sichere Verschlüsselung zu erstellen.
Dass es aber eben andere Sicherheitslücken gibt, beispielsweise die, dass auf Konto- bzw. Rechnungsdaten zugegriffen werden kann, ist aber ein ganz anderer Punkt und da wurde ja bereits bewiesen, dass da eben das Sicherheitskonzept von MEGA bzw. Vertragspartnern nicht ausreichend ist.

Videos · 03. 02. 2013, 19:28

Wie sollte dieser Schlüssel sicher sein? Wenn man den Link hat, hat man den Schlüssel (der eigentlich nur eine Sprungmarke für den Browser ist). Grundsätzlich könnte man annehmen, dass Mega durchaus fähig ist, Inhalte zu überprüfen, denn die Links an sich müssen ja gespeichert sein.

**KidZler** · 03. 02. 2013, 22:04

Verschlüsselung geknackt .... Wo sind meine 10k ?

Da muss der kleine dicke anscheisser wohl noch nen bisl mehr chips und cola saufen das das was wird

**holgerford** · 04. 02. 2013, 04:43

Die regel sind doch ganz klar:

What types of bugs qualify?
Remote code execution on any of our servers (including SQL injection)
Remote code execution on any client browser (e.g., through XSS)
Any issue that breaks our cryptographic security model, allowing unauthorized remote access to or manipulation of keys or data
Any issue that bypasses access control, allowing unauthorized overwriting/destruction of keys or user data
Any issue that jeopardizes an account's data in case the associated e-mail address is compromised

Quelle:
https://mega.co.nz/#blog_6

Dort steht wer die 10,000 Euro bekommen kann.

**accC** · 04. 02. 2013, 19:58

Zitat von Videos

Wie sollte dieser Schlüssel sicher sein? Wenn man den Link hat, hat man den Schlüssel (der eigentlich nur eine Sprungmarke für den Browser ist).

Ich habe von Verschlüsselung im Allgemeinen geredet, nicht von einer konkreten Implementierung und sicher nicht von der von Mega. Dazu könnte ich, selbst wenn ich wollte, nichts sagen, da ich mich nicht damit auseinander gesetzt habe.