Файлообменник Mega устранил семь уязвимостей

Александр Панасенко 11 Февраля 2013 - 10:15

...

Файлообменный сервис Кима Доткома Mega ранее запустил программу вознаграждения за информацию об уязвимостях в программном обеспечении Mega. Чуть позже в Mega заявили, что готовы выплачивать до 10 000 евро за информацию о каждом баге, связанном с безопасностью сайта.

В минувшие выходные сервис сообщил о первых участниках программы, предоставивших данные о багах. Как оказалось, получателей денег стало сразу семеро. В блоге Mega говорится, что компания исправила указанные семь багов, выплатив причитающееся вознаграждение получателям. Впрочем, никакой информации о получателях и размере выплат в Mega так и не предоставили, передает cybersecurity.ru. Одновременно с описанием самих багов, Дотком в блоге начал разделять уязвимости в Mega на шесть уровней опасности: от "исключительно теоретических сценариев" до "фундаментальных проблем в архитектуре". Полностью список уязвимостей выглядит следующим образом:

Class IV vulnerabilities

["Cryptographic design flaws that can be exploited only after compromising server infrastructure (live or post-mortem)"]

Invalid application of CBC-MAC as a secure hash to integrity-check active content loaded from the distributed static content cluster. Mitigating factors: No static content servers had been operating in untrusted data centers at that time, thus no elevated exploitability relative to the root servers, apart from a man-in-the-middle risk due to the use of a 1024 bit SSL key on the static content servers. Fixed within hours.

Class III vulnerabilities

["Generally exploitable remote code execution on client browsers (cross-site scripting)"]

XSS through file and folder names. Mitigating factors: None. Fixed within hours.
XSS on the file download page. Mitigating factors: Chrome not vulnerable. Fixed within hours.
XSS in a third-party component (ZeroClipboard.swf). Mitigating factors: None. Fixed within hours.

Class II vulnerabilities

["Cross-site scripting that can be exploited only after compromising the API server cluster or successfully mounting a man-in-the-middle attack (e.g. by issuing a fake SSL certificate + DNS/BGP manipulation)"]

XSS through strings passed from the API server to the download page (through three different vectors), the account page and the link export functionality. Mitigating factors—apart from the need to control an API server or successfully mounting a man-in-the-middle attack: None. Fixed within hours.

Class I vulnerabilities

["All lower-impact or purely theoretical scenarios"]

HTTP Strict Transport Security header was missing. Fixed. Also, mega.co.nz and *.api.mega.co.nz will be HSTS-preloaded in Chrome.
X-Frame-Options header was missing, causing a clickjacking/UI redressing risk. Fixed.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 06 Марта 2026 - 17:59

GenAI (генеративный искусственный интеллект) Общее

На Википедии нашли галлюцинации в ИИ-переводах и ввели ограничения

У Википедии снова случился спор про ИИ, на этот раз из-за переводов. Редакторы ввели новые ограничения для части переводчиков, связанных с Open Knowledge Association (OKA), после того как в ряде ИИ-переводов нашли галлюцинации: подменённые источники, неподтверждённые фразы и даже абзацы, опиравшиеся на материалы, не связанные с темой статьи.

Сама OKA — это швейцарская некоммерческая организация, которая платит стипендии переводчикам и прямо пишет на своём сайте, что использует большие языковые модели, чтобы автоматизировать значительную часть работы.

В англоязычном сегменте Википедии у проекта есть отдельная страница, там сказано, что OKA финансирует переводчиков и работает с несколькими языками, включая русский, испанский, французский и немецкий.

Проблему заметили не «в теории», а на конкретных статьях. Один из редакторов, Ильяс Леблё, рассказал 404 Media, что при выборочной проверке быстро нашёл ошибки: где-то источники были перепутаны, где-то появлялись фразы без верификации, а в одном случае в статью про выборы во французский Сенат попали абзацы, вообще не подтверждавшиеся указанными материалами.

Отдельно редакторов смутило, как именно была организована работа. Публичные инструкции OKA для переводчиков на Meta-Wiki подтверждают, что организация обучает новичков и публикует свои рекомендации открыто. В обсуждении вокруг инцидента также всплывали указания использовать популярные LLM для чернового перевода и правки лидов статей; 404 Media пишет, что раньше в инструкциях фигурировал и Grok, хотя позднее акцент сместили на другие модели.

В итоге Википедия не стала запрещать ИИ-переводы целиком, но решила ужесточить подход именно к переводчикам OKA. По правилам, которые цитирует 404 Media, если такой переводчик за шесть месяцев получает четыре корректно вынесенных предупреждения за непроверяемый контент, то при следующем нарушении его могут заблокировать без дополнительных предупреждений. А материалы, добавленные таким участником, могут удалить, если за них не возьмёт ответственность другой редактор с хорошей репутацией.

У самой OKA своя версия истории. Основатель организации Джонатан Циммерманн заявил, что переводчикам платят почасово, а не за количество статей, и что фиксированной нормы публикаций у них нет. По его словам, организация делает ставку на качество, признаёт, что ошибки случаются, и уже усиливает контроль: вводит второй независимый этап проверки через другую LLM, но не как замену человеку, а как дополнительный фильтр перед ручной верификацией.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!