Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
MEGA: spam or stuff wanted?
Alles begann so pompös und Aufsehen erregend. Mit einem wahrlich showreifen Auftritt stellte der Internet-Millionär Kim Dotcom letzten Sonntag seinen neuen Online-Speicherdienst „MEGA“ vor, der allen Nutzern eine Verschlüsselung mittels RSA-Schlüsseln mit 2048 Bit Stärke anbietet. Wenige Stunden nach der Eröffnung meldeten sich über eine Million Anwender an, was die Server regelrecht in die Knie zwang (gulli:news berichtete). Doch die Downtime soll nicht nur am extremen User-Ansturm gelegen haben. Bereits am Tag der Eröffnung wurden auf mega.co.nz die ersten XSS-Lücken entdeckt, deren Ausnutzung ebenfalls zu einer Überlastung führten. Das zumindest glaubt der Erdinger IT-Dienstleister Heiko Frenzel.
Eines seiner neuen Videos zeigt eindrücklich, dass bei MEGA die Registrierung neuer Anwender nur mangelhaft gegen Missbrauch geschützt ist. Beim neuseeländischen Filehoster gäbe es nach Informationen von Frenzel keine Captcha-Abfrage und auch keine IP-Sperre, die einen Missbrauch verhindern könnte. Zu Demonstrationszwecken wurde nun von ihm ein Bot programmiert, der dazu in der Lage ist, den ungewollten Massenversand von Werbemails vorzuführen. Frenzel moniert weiterhin, das Verschicken eines eigenen Codes oder Links zu Phishing-Webseiten via E-Mail sei ebenfalls möglich. Weder habe man die Länge der E-Mails begrenzt, noch würde man den Inhalt der Formulare überprüfen. Diesbezüglich gäbe es noch viel zu tun. "Es lässt sich eine Menge Unsinn damit treiben, darum sollte man bei MEGA vielleicht doch nochmals ein wenig am Portal schrauben", schreibt der IT-Sicherheitsberater aus dem Raum München. Man müsse sich also nicht wundern, sollte man überraschend eine E-Mail des Megaupload-Nachfolgers im eigenen Posteingang finden. Mit Filehsharing oder dem Thema Cloudstorage habe diese E-Mail aber nicht immer etwas gemeinsam.
der MEGA bug im Detail
Bild-Quellen: sicherheit-online.org
Text-Quellen: sicherheit-online.org
Lars Sobiraj (g+) am Dienstag, 22.01.2013 11:59 Uhr
Jeder einigermaßen anständige, nicht mal guter, Hoster lässt Dich per URL hoch laden. Du glaubst offensichtlich, Du gibst dort youtube.com ein und alles wird hochgeladen, ja? Viel Spass dabei youtube in 40GB (Dein Freeacc) zu pressen. Wird dann wohl ne Lebensaufgabe werden. ...
musste grad festellen das man sogar urls uploaden kann und da wundert der sich warum seine server überlastet sind... wenn jemand ein backup von youtube haben will oder paar porn seiten wär das kein probelm mehr da man ja sogar relativ einfach freeaccs erstellen kann ...
Bezüglich der Verschlüsselung sind andere Leute da ganz anderer Ansicht als Du. Wegen der XSS-Lücke würde ich an deiner Stelle den Heiko Frenzel selbst über Twitt ...
Nur mal so, wenn es keine Limitirung gibt, könnte man sich dann nicht auch einen benutzernamen machen, der dann selber schon 40 GB (oder mehr) groß wäre? :P Na dann mal los! :D :coffee: ...
MEGA angelegte promotion. gibt es einen schnelleren Weg, DIE Leute von FRÜHER, die für den damaligen Umsatz gesorgt haben, wieder auf die Seite zu locken? Genau DIE laden doch später auch wieder Dinge hoch, die andere teuer runterladen müssen. Kommen die Emails denn wirklich bei jemandem an? od ...
Heutzutage ist die Internettelefonie neben Fest- und Mobilnetztelefonie immer gefragter. Per Internet zu kommunizieren ist nicht nur komfortabler und billiger, man ist zudem unabhängig von Tarifen, welche nur eine bestimmte Gesprächszeit günstig ermöglichen. Also wieso nicht auch Internet-Telefonie nutzen?
Sener Dincer am 14.06.2013, 11:47 Uhr
Bezugnehmend auf die anhaltende Protestbewegung gegen Ministerpräsident Erdogan hat nun auch der StudiVZ-Gründer Ehssan Dariani seine Ansichten offenbart. Via Facebook-Mitteilung teilt er mit, dass möglicherweise die Zeit für einen bewaffneten Kampf gegen die türkische Regierung gekommen sei – und zwar „Stauffenberg-like“.
mehr lesen...
