Miles de inicios de sesión en Mega encontrados en línea, exponen archivos de usuario

Fueron expuestas cuentas de correo, contraseñas y listas de nombres.

Miles de credenciales para cuentas asociadas con el servicio de almacenamiento de archivos Mega, establecido en Nueva Zelanda se han publicado en  un archivo en línea, según ha sido informado ZDNet y han retomado expertos en cursos de protección de datos personales.

Es un archivo de texto contiene más de 15 mil 500 nombres de usuario, contraseñas y nombres de archivos, lo que indica que mediante un ataque se ha accedido a cada cuenta y han sido intervenidos los nombres de los archivos.

Especialistas en seguridad informática y cursos de protección de datos personales encontraron el archivo de texto en junio después de que un usuario, presuntamente en Vietnam, lo subiera al sitio de análisis de malware VirusTotal unos meses antes.

Después de contactar a varios usuarios se verificó que los datos pertenecían a Mega, el sitio de intercambio de archivos propiedad del empresario de Internet Kim Dotcom, quienes confirmaron que la dirección de correo electrónico, la contraseña y algunos de los archivos que les mostramos se usaron en Mega.

Los listados se remontan al inicio de funciones de Mega en la nube en 2013, y alcanzan fechas tan recientes como enero de 2018.

El aviso sobre esta filtración fue enviado a los administradores del sitio web Have I Been Pwned para analizar la situación. Se reveló que el ataque utilizado fue el de relleno de credenciales (los nombres de usuario y las contraseñas son robadas de otros sitios) en lugar de una violación directa de los sistemas de Mega. Los especialistas en cursos de protección de datos personales estiman que el 98% de las direcciones de correo encontradas en el archivo ya habían sido usadas en una violación de datos anterior. De los usuarios contactados, al menos cinco reportaron haber usado su contraseña de Mega para otros sitios web también.

El presidente de Mega, Stephen Hall, respaldó la versión de los especialistas sobre la naturaleza del ataque, señalando que se trataba de un relleno de credenciales.  Hall menciona además que la lista representa “sólo el 0.0001% de los 115 millones de usuarios registrados en Mega”.

No se sabe quién compiló la lista o cómo es que los datos fueron intervenidos, aunque el sitio afirma ofrecer cifrado de extremo a extremo, el sitio no permite la autenticación de dos factores, lo que hace que sea mucho más fácil acceder a cuentas cuando un usuario sufre fugas de información. Un atacante sólo necesitaría usar las credenciales para iniciar sesión en cada cuenta para confirmar que funcionen y para eliminar los nombres de los archivos.

Hall dijo que la compañía planea introducir la autenticación de dos factores en el futuro, pero sin mencionar exactamente cuándo.

Mega mantiene un registro de la dirección IP de cada usuario que inicia sesión en una cuenta. Tres usuarios dijeron que vieron inicios de sesión sospechosos accediendo a su cuenta desde países de Europa del Este, Rusia y Sudamérica en los últimos meses desde que se cargó el archivo de credenciales.

Dada la naturaleza del contenido de algunas de las cuentas cuyos datos fueron revelados, los especialistas en cursos de protección de datos personales dieron aviso de tal contenido a las autoridades en la materia.

En respuesta a esta situación, Hall dijo que no estaba claro si el contenido presuntamente ilegal fue subido por el propietario original de la cuenta o si alguien más lo subió a Mega usando la cuenta como un buzón anónimo. Sin embargo, el contenido ilegal se subió años antes, de acuerdo con las fechas de carga en la lista de archivos, lo que hace poco probable la participación reciente de terceros.

En su aviso, los encargados del sitio mencionan que “Mega tiene tolerancia cero para cualquier material ilegal. Cualquier informe de actividad ilícita resulta en la inmediata inhabilitación de los enlaces, cierre de la cuenta, y reporte a las autoridades”.

“Mega no puede examinar el contenido, ya que está encriptado en el dispositivo del usuario antes de ser transferido a Mega. Además de ser técnicamente imposible, también es inviable para Mega y otros proveedores importantes de almacenamiento en la nube, con cientos de archivos que se cargan por segundo”.

No es la primera vez que Mega enfrenta problemas de seguridad. En 2016, hackers afirmaron tener acceso a documentos internos de Mega. Los administradores del sitio comentaron que entonces ningún dato de usuarios se vio comprometido.