Los usuarios del servicio de almacenamiento en la nube Mega han sido víctimas de una de las brecha de datos más importante vinculadas a la plataforma, donde se expusieron direcciones de correo electrónico, contraseñas e incluso listas de nombres de archivos que los usuarios almacenaban en la nube.

En total, fueron más de 15,500 nombres de usuario, credenciales y nombres de archivos, según Patrick Wardle, director de investigaciones y confundador de la firma Digita Security, quien encontró un archivo de texto en línea con esta información el pasado mes de junio, luego de que un aparente usuario vietnamita lo cargó al sitio web de análisis de malware VirusTotal.

El sitio web ZDNet publicó un informe donde asegura haber recibido los datos de manos del propio Wardle, y luego de una verificación exhaustiva, que incluyó contactar a varios de los usuarios afectados, determinó que en efecto, los datos pertenecían a Mega. Los listados de datos robados de Mega se remontan a su lanzamiento como servicio de nube, en 2013.

Servicio Postal de EE.UU tardó un año en corregir vulnerabilidad que expuso datos de 60 millones de usuarios

Otro informe del investigador Troy Hunt revela que los nombres de usuarios y las contraseñas fueron robados de otros sitios web, donde los usuarios utilizaban los mismos datos de inicio de sesión, lo que indica que no fue una violación a la seguridad de los sistemas de Mega. De hecho, Hunt reveló que el 98 por ciento de las direcciones del archivo filtrado ya se habían encontrado en una violación anterior.

Por su parte, Stephen Hall, presidente de Mega, confirmó que las credenciales expuestas no formaban parte de una violación a la seguridad de la plataforma, asegurando que la lista de datos sólo representa el 0,0001 por ciento de los 115 millones de usuarios registrados en Mega.

Los investigadores dijeron que alguien pudo haber obtenido estos datos con sólo disponer de las credenciales, ya que el sitio web no incluye autenticación de dos factores para iniciar sesión. Sin embargo, Mega anunció que planea introducir este método de verificación próximamente, sin especificar fecha.

Más en TekCrispy