Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties

Hackers zijn er in geslaagd systemen van de opslagdienst Mega binnen te dringen. De hackers claimen onder andere de broncode van Megachat en een rsa-sleutel in handen te hebben. Mega bevestigt de hack, maar noemt de impact klein.

De hack is gepleegd door Amn3s1a Team, dat onder andere ZDNet en Torrentfreak inlicht over de kraak. Via ontwikkelaarsaccounts en een kwetsbaarheid wisten ze hun beheerdersrechten uit te breiden. Ze claimen daarbij 2GB aan broncode te hebben verkregen, van onder meer de Megachat-dienst voor instantmessaging. Daarnaast zouden interne documenten en wat gebruikersgegevens buitgemaakt zijn. Details over de admin-logins hebben ze inmiddels op Pastebin gezet en ook de broncode dreigen ze openbaar te maken.

Een woordvoerder van Mega bevestigt de hack, maar stelt dat geen toegang tot kritieke broncode en gebruikersdata is verkregen. "Een van de bedrijven die we extern inhuren, werkt aan onafhankelijke systemen om materiaal op ons blog bij te houden. Het helpcentrum daarvan was binnengedrongen", claimt de woordvoerder.

Mega werd in 2013 opgericht door Kim DotCom als opvolger voor filelockerdienst Megaupload. In 2015 stapte DotCom op met claims over een vijandige overname. "Hacker met admin-toegang kunnen backdoors geplaatst hebben, dit is een nachtmerrie voor het 'privacy bedrijf'", meldt DotCom nu op Twitter. Hij werkt zelf aan Megaupload 2.0.

Moderatie-faq Wijzig weergave

Reacties (65)

Is 2GB aan broncode niet wat veel?
Vaak wordt de hele project source bedoeld, dus inclusief images ed. Wie weet zitten er wel videos bij.
Als ik zie dat mensen zelfs object files en complete executables in versiebeheer duwen zou het me niet verbazen als die 2Gb bestaat uit 1Mb aan sources en de rest een of andere file die per ongeluk ook mee ingechecked is.
Wellicht is het een source control repo, bijvoorbeeld GIT heeft ook de gehele geschiedenis van een project in de map.
Ja, da's veel.
Win10 is zo'n 50 miljoen regels. Laten we run schatten: gemiddeld 40 karakters per regel; dan zit je op 2GB aan code.
https://www.quora.com/How...e-does-Windows-10-contain
Dat ligt geheel aan de code.
Kijk eens naar Windows. O-)
Hoeveel GB broncode zit er dan achter Windows? :|

Waarom downvote? Hoe moet ik of hij nou weten hoeveel broncode er zit achter windows?

[Reactie gewijzigd door Rub3s op 17 november 2016 20:39]

Hoeveel GB broncode zit er dan achter Windows? :|

Waarom downvote? Hoe moet ik of hij nou weten hoeveel broncode er zit achter windows?
Sorry, maar het antwoord is echt zo simpel: door te googlen.
'how many lines code windows' bijvoorbeeld.
De Pastebin link werkt niet. En de ZDNet link klopt ook niet zie ik nu.

[Reactie gewijzigd door mind123 op 17 november 2016 19:43]

Dit is de correcte Pastebin link (bron)

Dit is het correcte artikel op ZDNet

Inmiddels netjes gemeld in "Geachte Redactie"

[Reactie gewijzigd door RobinF op 17 november 2016 19:52]

Ik gebruik MEGA nu al ruime 2 jaar als primaire clouddienst. Mede door hun 50GB aan opslag die ze bieden en hun privacy beleid. Alleen moet ik nu per abrupt stoppen met MEGA? Aangezien het nieuws rondom MEGA steeds negatief is.
Alles met Kim Dotcom zou ik nooit belangrijke, persoonlijke of uberhaupt bestanden plaatsen, niet dat hij onbetrouwbaar is (beetje wel misschien...) maar vooral omdat er genoeg instanties gedoe met hem hebben en het elk moment offline kan gaan...
Kijk anders eens naar (TransIP) STACK, 1TB gratis in Nederland gehost door een betrouwbaar bedrijf ipv iemand die zich Dotcom heeft genoemd :P
maar ook jouw 1TB kan zo ophouden - dat is een 'test/beta' actie en de voorwaarden staat dat het later betaaldienst kan worden. Vergelijkbaar met kpn (?); veel (goekoop) klanten trekken - is bepaalde drempel bereikt, gaat men prijs verhogen. Zeg niet dat ze het doen, maar kan wel
Iig minimaal zoveel zekerheid als een dienst van Kim Dotcom die elk moment een inval kan krijgen...
Je weet toch wel dat Kim geen banden meer heeft met Mega, hea?
Buiten dat blijft het nog steeds shady AF.

[Reactie gewijzigd door Aurora op 18 november 2016 10:45]

En waarom niet? Google Drive en Microsoft OneDrive zijn helemaal niet versleuteld. Mega is zelfs end-to-end encrypted, maar de code is allemaal in Javascript geschreven en dat zou ik zelf ook nooit 100% vertrouwen.
Tja daar zeg je het toch al ;)
Alles met Kim Dotcom zou ik nooit belangrijke, persoonlijke of uberhaupt bestanden plaatsen
Kim heeft niks met deze huidige MEGA te maken.
Verder loopt je zin trouwens niet.
Kim heeft alles met MEGA te maken als oprichter...
Hele probleem met Kim en veilig je data opslaan is dat e.a. aan instanties achter hem aan zitten (of hebben gezeten?), zou mooi zijn dat als hij roept dat het niet meer van hem is dat die instanties dan niet meer ernaar kijken...
Verder is Kim zelf ook erg excentriek zacht gezegt en is een dienst opgericht door hem of die op wat voor manier aan hem is verbonden gewoon niet veilig...
De huidige MEGA heeft niks meer met Kim te maken. Andere code, ander management. Al zeker sinds juli 2015.

[Reactie gewijzigd door kimborntobewild op 18 november 2016 13:02]

Ja maar MOET mijn volledig adres invullen?? :(

Waar slaat dat op?? :?
50GB for free klinkt inderdaad heel aantrekkelijk, maar als je echt zeker van je data wilt zijn is MEGA wel de laatste dienst waar ik mijn gegevens aan toe zou vertrouwen. ;)

Als je puur voor het geld kiest lekker zo laten en anders zoek je een betrouwbaarder (en duurder alternatief).
Je kunt niemand vertrouwen; daarom encrypt je data voordat je die "publiekelijk" online opslaat
Precies. Gebruik gewoon 7-Zip met een sterk wachtwoord. Tenzij ze AES-256 kunnen kraken gaan ze niet bij je data komen.
het nadeel is, nu je data kopieren, later decrypten, dat is wat mensen vaak vergeten, massa opslag kost ook geen drol meer per GB, dus dan kun je makkelijk het visnetje uitgooien om het later "te verwerken" ;)
Tegen de tijd dat ze het decrypten bestaat de aarde al niet meer.
dat dachten ze met de eerder encryptie methodes ook :+
AES-256 is door de NSA goedgekeurd voor geheimen tot op het niveau van 'TOP SECRET; wat betekent dat het tot in de eeuwigheid geheim moet blijven.

Ik vertrouw er wel in.
Toen waren de krachten van quantumcomputing nog onderschat..
Nee, AES-256 heeft juist 256-bit omdat het op een quantum computer gereduceerd wordt (met Grover's Algorithm) tot 128-bits, wat ook niet te kraken is.
Toen waren de krachten van quantumcomputing nog onderschat..
En nu zijn de krachten van quantumcomputing nog lang niet bruikbaar om AES-256 te kraken.
tja, zoals ik zei dat dacht men bij eerdere methodes ook, en laat NSA nou net geinteresseerd zijn in bepaalde geheimen van collega's....
De NSA adviseert Amerikaanse overheidsdiensten om AES-256 te gebruiken voor het beschermen van Amerikaanse geheimen. Jij gaat mij niet vertellen dat ze dat roepen en dat ze het dan toch kunnen kraken, dat geloof ik gewoon niet.

Los daarvan heeft de NSA in het Congres zelf toegegeven dat ze AES-256 niet kunnen kraken.
Ah, ja ze zeiden het wel dus moet wel zo zijn ;)
Je data beveiligen op basis van aanames, beste manier om gekraakt te worden ;)
Je gokt dat de NSA niet kan liegen, ondanks dat een groot deel van hun activiteiten (99%) geheim is en dus niet te bevestigen is...
Dat de NSA 'toegeeft' (liegt) dat ze iets niet kunnen kraken zou voor beveiliging moeten betekenen dat die encryptie methode niet meer gebruikt wordt en naar een wel veilige methode wordt gekeken...
Of ze het kunnen kraken? Geen idee dus daar ga ik niet blindelings op vertrouwen ;)
Een eigen NAS mijn beste, een NAS. :Y)
tot je huis afbrand natuurlijk.. (uiteraard valt dat niet te hopen)
Dan koop je een tweede en plaats je die bij goede familie die direct repliceert met de NAS van thuis. ;-)
Degelijke 2-bay NAS (want iig enige redundantie), x 2 = ¤300-400

Harde schijven, 1 TB, x 4 = ¤200-300

Plus tijd voor onderhoud (netto uurloon x uren beheer en instellen) en kosten elektriciteit (verbruik NAS x 2).

Zullen we zeggen ¤600 eerste investering, afschrijven over vier jaar? Dus ¤150/jaar, plus verbruik en tijd, voor 1 TB cloud-opslag. Voor dat geld kan je die 1 TB ook bij een degelijk bedrijf met business grade support, kant en klare apps, API's en plug-ins en geo-redundantie neerzetten.

Ik snap gerust waarom je zelf een NAS zou willen, maar als het puur om online beschikbare opslag gaat, zou ik het zelf niet doen. Het is leuk speelgoed, je kan er allerlei andere dingen mee, etc, maar voor alleen veilige online opslag kan je voor ¤150/jaar beter uit zijn, vind ik.
Ik ben het helemaal met je eens, ben zelf ook geen fan van een nas maar voor de mensen die redundantie willen is een tweede nas op andere locatie zeker geen slecht idee.
Je hebt een punt. Maar vanuit mijn visie is het beter om zelf je eigen data te beheren, zodra je het in de cloud gooit ben je de controle kwijt. Je weet nooit of een bedrijf ermee ophoud of zoals bij Mega dat ze de servers in beslag nemen of hackers dat buit maken.

Bij je eigen NAS heb je dat niet. Die staan veilig bij jou thuis/office/grootmoeder met een ethernet kabel eraan. Als je echt zo'n para persoon bent zoals mij opteer ik het liefst voor een NAS. Geen denken aan dat ik mijn gevoelige data in de cloud gooi bij een derde partij.
Maar dan géén RAID-0, wel RAID-1 (of RAID-5 als je genoeg disken hebt). En dan de originelen ook op je PC laten staan en de NAS puur als 2e storage gebruiken. En die liefst nog offsite repliceren bij familie die minstens een vliegtuiglengte bij je vandaan wonen.
Ik ben er van overtuigd dat dataopslag lokaal nog het meest veilige is. Gooi er bijvoorbeeld een goed encryptieprogramma overheen en klaar is kees. Stel, ik wil Jan of Kees een downloadlink geven dan plaats ik die wel op mijn eigen webserver waarvan ik zeker weet dat die veilig is omdat ik die gemaakt heb. En stel, de beste hacker komt toch even langs, dan is het het hacken niet waard. Want ik zet er niks persoonlijks op.
Natuurlijk, er gaat niets boven Truecrypt lokaal opslaan met een sterk wachtwoord.
Dan ben je van de hele cloud en dat gezeik van "Hackers hebben gegevens van x mensen" af. Dan ben jij het alleen die goed met een computer om kan gaan en je wachtwoord niet op een post-it zet.
Ik denk dat het truecrypt pad (en bijkomende on-site/off-site/off-line backups van die truecrypt volumes) voor veruit de meeste mensen veel meer gezeik is dan het waard is ten opzichte van gewoon je meuk periodiek naar een (betrouwbare, daar schaar ik persoonlijk Mega niet onder) cloud dienst te schieten.
Truecrypt was niet meer veilig toch?
Zeker wel. Gewoon gebruiken.

Truecrypt....FOREEEVER!

[Reactie gewijzigd door ArtGod op 18 november 2016 10:15]

Als je er niks persoonlijks op zet kan je het toch net zo goed in de cloud opslaan? Veel makkelijker dan zelf een server onderhouden.
Huh? Dotcom gaf eerder dit jaar ook al een veiligheidwaarschuwing nadat Mega door Chinese investeerders uit zijn handen zou zijn geglipt. En niet geheel toevallig zou hij in januari weer met een nieuwe dienst gaan starten.

Komt op mij over alsof hij nu wederom z'n oude dienst negatief onder de aandacht wil brengen om vervolgens zijn nieuwe 'veilige' dienst te promoten.
Meh, hij wordt gewoon telkens gedwarsboomd door ofwel overheid of andere partijen.. hij probeert het wel en hij gelooft ook echt in privacy.
Ik denk dat hij vooral gelooft in het geld op zijn bankrekening. Hoe anders zouden chinese investeerders Mega kunnen overnemen?
Volgesmij las ik iets over dat meerdere bedrijven over de 50% van de shares kochten en een van de chinezen die weer overgekocht heeft en zo eigenaar is geworden
Grapje zeker? Kim Dotcom is een veroordeelde crimineel, en dat is niet allemaal voor copyrightschending. Als tiener al verdiende hij geld met fraude en hacken, dat heeft ie geinvesteerd en is ie stinkend rijk geworden. Geen medelijden mee hebben.
2GB aan broncode?!! Weet je wel hoeveel regels code dat is? Miljoenen, minimaal. Ik geloof er niets van dat je zoveel code nodig hebt om Mega te maken.

Ik weet nog vroeger dat ik voor 150KB aan binaries ongeveer 10.000 regels broncode C++ moest schrijven.

[Reactie gewijzigd door ArtGod op 17 november 2016 20:56]

Niet helemaal eerlijk die vergelijking met C++ omdat je getypte code gecompileerd word.
Je kunt bovendien 100.000 regels schrijven en op minder dan 32 KB uitkomen.

Websites in PHP, HTML, JavaScript and what not is vrij letterlijk en voluit getypt.
Ook dat is niet altijd waar maar wel de norm.
Praktisch gans mijn persoonlijke data staat via Acronis op Mega ge backupped met AES- 256 encryptie. Moet ik me nu zorgen maken?
Stel ik een "domme" vraag als ik vraag hoe die RSA key in het bezit kon komen van..... ? Het gaat waarschijnlijk (maar?) om een private key van één van de sub domeinen, maar.....
Officiële verklaring: https://mega.nz/Mega_Limited_Statement_18Nov2016.pdf
Has MEGA been hacked?

No, MEGA has not been hacked.
One of our contractors working on an independent system which maintains the public material in
our blog and the help centre had his personal computer compromised. This person did not have
access to user data, neither did the person have access to critical source code. None of the other
users with access to that system have been compromised.
"Hacker met admin-toegang kunnen backdoors geplaatst hebben, dit is een nachtmerrie voor het 'privacy bedrijf'", meldt DotCom nu op Twitter.
De mouw...
Hij werkt zelf aan Megaupload 2.0.
... en daar is de aap.
Er is gewoon niks gehackt, allemaal bla bla. Gewoon de source code die al openbaar was.
Iemand is gewoon uit om mega een slechte naam te geven zodat mensen nu alles gaan downloaden en de dienst niet meer gaan gebruiken. Was dit ook niet het geval bij lastpass? Zogenaamd gehackt?


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True