Un premio da 10 mila euro per gli hacker che riusciranno a trovare bug su Mega, il nuovo sito di file sharing di Kim ‘Dotcom’. La sfida lanciata dal fondatore del defunto Megaupload prevede, dunque, che per ogni singolo bug individuato sarà elargita una lauta ricompensa: questo concorso va a inserirsi in un vero e proprio programma di sicurezza pensato per il nuovo portale, del quale si vuole limitare ai minimi termini la vulnerabilità. L’iniziativa, infatti, denominata The MEGA Vulnerability Reward Program, è stata presentata direttamente da Schmitz sul proprio account Twitter.
Sul blog ufficiale di Mega, inoltre, è stata spiegata la motivazione che ha portato al concepimento di una simile idea: “Per migliorare la sicurezza di MEGA stiamo offrendo ricompense a chiunque segnali un bug rilevante in termini di sicurezza o un difetto di progettazione precedentemente sconosciuti”. Sono state, inoltre, esplicitate le modalità di partecipazione al programma e gli eventuali motivi di esclusione delle segnalazioni proposte. Un hacker o quantomeno un utente esperto di informatica e di sicurezza di siti web, segnalando un’anomalia relativa al sito Mega, potrà ricevere fino a un massimo di 10 mila euro per singola falla o vulnerabilità posta all’attenzione del team.
Nello specifico, ci sarebbe un algoritmo di cifratura al centro dell’attenzione. Esso è stato realizzato dagli ingegneri che hanno lavorato per la realizzazione di Mega. Questo algoritmo si sarebbe mostrato instabile e non in grado di assicurare massima sicurezza al sistema. Prima di un upload di un file, la cifratura farebbe, inoltre, uso di alcuni javascript, cosa che ha fatto non poco discutere: chi si è iscritto a Mega, già dai primi giorni dopo il lancio della piattaforma, ha ricevuto un’e-mail nella quale erano contenute delle informazioni personali. Tra queste la versione cifrata della password scelta per l’accesso al sito e la chiave per decifrare ogni informazione. L’e-mail, però, è stata inviata ai membri senza alcuna misura protettiva.