Специалист по безопасности Михаэль Козярски (Michael Koziarski) опубликовал браузерный букмарклет MegaPWN, который успешно извлекает секретный мастер-ключ Mega из оперативной памяти компьютера. Собственно, это не столько баг, сколько фича специфической «браузерной криптографии» Mega, когда все операции по шифрованию/расшифровке файлов осуществляются в браузере, с помощью приложения на Javascript. Сами представители компании признали этот факт и говорят: «Технически, мы можем передать вам JavaScript-код с бэкдором, который извлечет ваш секретный ключ и отправит его обратно нам». Михаэль Козярски наглядно демонстрирует, что любой злоумышленник, получивший доступ к компьютеру пользователя, может узнать его секретный ключ. Этот ключ напрямую доступен компании Mega, которая тоже может легко получить доступ к «зашифрованным» файлам пользователя на своих серверах и проверить их содержимое. Возможность доступа к файлам пользователю означает, что компания Mega будет обязана предоставить такой доступ, если получит соответствующее судебное постановление в отношении одного или многих пользователей. В общем, пресловутый «криптохостинг» оказался не слишком-то и «крипто-». Для пользователей Mega, таким образом, действуют такие же рекомендации, как и для пользователей обычных файлохостингов: нужно самостоятельно шифровать файлы перед передачей в облако с помощью стойкой криптографии, используя PGP или GPG. Исходный код букмарклета MegaPWN 04.09.2013 http://www.xakep.ru/post/61189/