Cloud-Dienst Mega soll alles andere als sicher sein

Am vergangenen Wochenende ist Kim Dotcoms Cloud-Speicher Mega gestartet und hat auch immenses Interesse ausgelöst. Das Haupt-Argument der Macher rund um Kim Dotcom ist die angebliche Sicherheit des Dienstes. Doch genau das bezweifeln einige Experten. Innerhalb der ersten Stunden und Tage war der Ansturm auf Mega gewaltig, nach kürzester Zeit haben sich mehr als eine Million Menschen dort angemeldet. Allerdings gab es auch massive Server-Probleme, viele der neuen Nutzer klagen über Überlastung, auch beim Versand der Bestätigungs-Mails hat es wohl Schwierigkeiten gegeben, da manche nicht angekommen sind.


Unabhängig davon bewerben die Mega-Macher ihren Dienst als den derzeit sichersten überhaupt, Grund dafür ist, dass alle Dateien des Nutzers automatisch verschlüsselt werden. Mittlerweile haben sich allerdings einige Sicherheitsexperten zu Wort gemeldet, die bezweifeln, dass Mega so sicher ist, wie es Dotcom und Co. behaupten.

So zitiert etwa die Seite 'TechWeekEurope' (via 'Futurezone') den britischen Sicherheitsforscher Alan Woodward von der Universität Surrey. Dieser sagt, dass die Verschlüsselung "alles andere als ideal" sei. Grund dafür ist die Tatsache, dass bei der Verschlüsselung Javascript genutzt wird, was zur Folge hat, dass jeder, der die SSL-Verschlüsselung auf Mega knacken kann, Zugang zu den Schlüsseln erlangen könnte.

Woodward begründet das mit dem Umstand, dass die SSL-Verschlüsselung bei Mega nur auf 1024 Bit setzt, was "deutlich einfacher" zu knacken ist als 2048 Bit (damit sind die Nutzer-Daten geschützt). Das ist zwar auch keine leichte Aufgabe, Woodward traut sie allerdings Organisationen wie dem FBI durchaus zu.

Ein anderes Problem greift der deutsche Sicherheitsexperte Heiko Frezel auf: Auf seinem 'Blog' beschreibt er, dass "Spammer und Phisher ein praktisches Werkzeug" bei der Registrierung auf Mega vorfinden: Die Parameter des Anmelde-Prozesses seien demnach nur "unzureichend gefiltert" und erlaubten problemlos eine "Massenregistrierung". Frenzel kritisiert, dass man auf Mega "weder eine Captcha-Abfrage noch eine IP-Sperre oder Ähnliches" finde.

Was man auf diese Weise anrichten kann, zeigt er auch gleich anhand eines Praxis-Beispiels: Er hat einen einfachen Bot programmiert, der dieses Problem aufgreift und liefert den Video-Beweis dazu auf seiner Seite auch gleich mit. Frenzels Empfehlung: Mega sollte "doch nochmal ein wenig am Portal schrauben".

Siehe auch: Mega - Mehr als 1 Million Nutzer und ein Mega-Event Kim DOTCOM, Kim Schmitz, Mega, File manager MEGA