Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 115, views: 25.063 •

Dropbox heeft erkend dat er recentelijk e-mailadressen van gebruikers zijn buitgemaakt die daarna door spammers gebruikt zijn. De clouddienst werkt nu aan two-factor-authentication om inloggen veiliger te maken.

Dropbox logo (60 pix)Halverwege juli kwam naar buiten dat verschillende Dropbox-gebruikers spam ontvingen op een e-mail-adres dat alleen voor de clouddienst in gebruik was. Kort daarna maakte het bedrijf bekend dat het geen bewijs van een hack had kunnen vinden, maar dat er nog verder onderzoek naar de kwestie gedaan zou worden. Naar aanleiding van dat onderzoek blijkt nu dat de dienst niet gehackt is, maar er wel een lijst met e-mailadressen is buitgemaakt dat op het account van een Dropbox-medewerker stond.

In een blogpost erkent het bedrijf dat er recentelijk op verschillende Dropbox-accounts is ingelogd met inlognamen en wachtwoorden die bij andere websites gestolen waren. Eén van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin e-mailadressen van een onbekend aantal gebruikers. Het bedrijf denkt dat deze lijst gebruikt is om de spammails te versturen. Dropbox biedt op het blog zijn excuses aan en zegt dat er maatregelen zijn genomen die dergelijke situaties in de toekomst moeten voorkomen.

Daarnaast gaat de dienst de komende periode zijn beveiliging aanscherpen en inloggen moet veiliger worden door de implementatie van two-factor-authentication. Hierbij moet een gebruiker niet enkel een password invoeren, maar ook een andere code, die bijvoorbeeld via sms verzonden kan worden. Deze mogelijkheid zal als optie aangeboden worden. Daarnaast wordt gebruikers geadviseerd om per website een uniek wachtwoord te gebruiken, zodat situaties als deze voorkomen kunnen worden.

Ook komt er een nieuwe pagina waar gebruikers de actieve login-sessies van hun account kunnen zien, waardoor eventuele logins met gestolen wachtwoorden sneller opgemerkt worden. Dropbox bouwt in aanvulling hierop ook nieuwe systemen die verdachte activiteit moeten herkennen.

Update, 09:38: In het oorspronkelijke bericht stond dat Dropbox gehackt zou zijn, dit klopt niet. De gegevens waarmee hackers op accounts van Dropbox-gebruikers konden inloggen waren bij andere websites gestolen.

Reacties (115)

Reactiefilter:-11150113+180+27+31
en alweer blijkt dat de cloud diensten gewoon niet veilig zijn.
Ik blijf er in ieder geval ver van weg. Een USB kabeltje tussend e telefoon en de pc kan immers niet gehacked worden!
In theorie wel. Je kan meet apparatuur ontwikkelen die gevoelig genoeg is om de spanningsverschillen je usb kabel te meten en daarmee de communicatie te onderscheppen. :P

[Reactie gewijzigd door Daeron op 1 augustus 2012 09:16]

Die apparatuur bestaat al heel lang hoor, voor bedrijfsspionage en militaire toepassingen.

Ach ja, ik heb niks te verbergen hoor, zoalng ze de spullen maar niet vernietigen. Online diensten blijven ideaal voor backup omdat bij calamiteiten in je eigen huis (brand, inbraak) deze spullen gewoon onaangeroerd blijven.

daarnaast moet eenieder een bcakup procedure hebben die je belangrijke data zowel local als Online update.

daarnaast je mobile phone zo snel mogelijk laten syncen als je thuis bent. kan heel goed automatisch.
Ik ben ook niet bang dat mensen zien wat ik heb opgeslagen, waar ik me meer zorgen over maak is de bestanden die kwaadwillenden kunnen opslaan op mijn account.
Ik wordt er namelijk wel verantwoordelijk voor gehouden.

Het is dezelfde reden waarom ik mijn WIFI beveilig.
...Ach ja, ik heb niks te verbergen hoor,...
Grootste onzin argument ever. Je geeft je vrijheid weg, omdat je niks te verbergen hebt?

Het is het zelfde als mensen zeggen "ow ze mogen wel overal camera's hangen, want ik heb toch niks te verbergen". Hoe zit het met je vrijheid? Met je privacy? Doet al die dingen dan helemaal niet toe? Wil je echt dat er een mogelijkheid is dat iedereen je op elke moment van de dag je kan bekijken en zien wat je doet? Puur omdat je niks te verbergen hebt?!

Het gaat niet om of je wel of niet iets te verbergen hebt, het gaat om de vrijheid die je wilt behouden. Als iemand iets te verbergen heeft, lukt het hem ook wel ondanks alle maatregelen.
Het is het zelfde als mensen zeggen "ow ze mogen wel overal camera's hangen, want ik heb toch niks te verbergen". Hoe zit het met je vrijheid?
Vrijheid is dat ik kan gaan waar ik wil en dat ik kan zeggen en doen wat ik wil. Daar heeft een camera echt helemaal niks mee te maken, die gaat mij tenslotte nergens in tegenhouden. Bovendien hangt die camera daar niet voor mij, maar voor die overvaller die voor de 3e keer toeslaat en waarvan niemand nog weet wie het is.
Je begrijpt dat anderen misschien vinden dat je wat overdrijft met dat "weggeven van vrijheid"? In ons land, onze maatschappij is dat gewoon niet aan de orde zoals dat jij schetst.
Nee, en je pc kan niet volzitten met malware en je telefoon is niet jailbroken/rooted dus ook 100% veilig :)
Waarom houden we nog steeds vast aan de schijnveiligheid dat allen wat je in-house hebt ook daadwerkelijk veilig is?
dat doe ik niet?
maar ik vind al lang dat het extreem onveilig is om bestanden ergens op een onbekende server te zetten en een 3de partij rechten geven om de bestanden te gebruiken.

En pc malware gaat meestal geen foto's en documenten doorsturen.
En het rooten van een telefoon heeft geen meerwaarde. En nu kom niet aan met android malware, daar heeft 0,001% van de gebruikers problemen mee.
Je kan de bestanden die je online zet ook encrypteren. Afhankelijk van de gekozen encryptie en sleutel is dat weer een extra niveau van beveiliging.
Je leeft in een droomwereld. Encryptie? Laat me niet lachen. Je hoeft geen files op zo'n dienst te zetten om al spam te krijgen omdat een medewerker om volstrekt onduidelijke redenen, tegen alle logica in, email adressen van gebruikers n zijn eigen box zet.

Ik zal nooit gebruik maken van cloud diensten omdat het naïef en een illusie is te denken dat de boel veilig is.

Mensen dienen te leren dat er twee aparte werkelijkheden bestaan, die niet geïntegreerd dienen te zijn. Je hebt het echte leven en het internet. Daar horen 'firewalls' tussen te zijn. De verregaande integratie van online in het normale leven is onwenselijk en wordt steeds onwenselijker. Deze site heet tweakers.net. Maar je had het ook 'hackingspamberichten.net' kunnen noemen en dan was het ook goed geweest. Want elke dag is er wel een bericht, meestal meerdere, over criminaliteit op internet.

Generaties van nu weten niet beter, die zijn opgegroeid met internet. Maar ik ben van een generatie die het allemaal heeft zien opkomen. Daarmee heb ik een zeker voordeel. Dat voordeel bestaat uit het kunnen vergelijken van de wereld voor internet en die van nu. En ik zeg je, dingen waren toen beter. We waren veiliger, we hadden meer privacy, het was veel moeilijker voor criminelen om toegang te krijgen tot gegevens. We hadden geen noodzaak om papierwerk elders op te slaan. We hadden echte fotoboeken en het ergste waar je bang voor was dat die door brand zouden worden vernietigd. Maar hoe groot is de kans dat je huis inv lammen op gaat? En hoe groot is de kans dat je tegenwoordig gehackt wordt?

Ik krijg ineens spam met mijn echte naam in het onderwerp. Ik sta dus ergens op een lijst en daar kom ik NOOIT meer vanaf. Ik heb dus geen keus om dat email adres uit de roulatie te namen. En dan nog zullen er traceerbare elementen zijn.

Extra niveaus van beveiliging, jaja. Wat een wereld. Internet is handig, maar het is tool, het is niet je leven, het is niet je eigen veiligheid en anonimiteit en zeker niet je broodnodige privacy. En niemand gaf zijn foto album vroeger aan een ander voor opslag, of zijn diploma's, of zijn scheidinspapieren of wat dan ook.

Dat hield je bij jezelf, want het is van jezelf. Generaties van nu, kids van tegenwoordig, die worden stelselmatig ingelijfd in een online leven dat schade kan opbrengen maar er weinig voor terug geeft. Internet is een bibliotheek, meer niet en dat zou zo moeten blijven. Voor de rest is het een groot beveiliginsgrisico.
Leuk verhaal hoor, heel opa verteld enzo, maar al die dingen die opnoemt kunnen natuurlijk nog steeds. Ik zie genoeg mensen die digitale foto's zowel op facebook zetten (om te delen met oma die in Canada woont) en daarnaast in een mooi fotoboek plakken, omdat het tastbaarder is op verjaardagen etc.

Daarnaast praat je over het onwenselijk zijn van de diepe integratie van online in het leven, maar mag ik even zelf bepalen of ik dat al dan niet onwenselijk vind?!

Ik zou zeggen, trek je utp kabel uit je pc, doe je alu hoedje op en leef lekker je leven offline verder :z
Je moet ook wel opletten dat je niet te veel blijft `vast plakken` bij de goede oude tijd, tegen woordig is er veel meer op internet mogelijk onderandere omdat:
  • het internet veel sneller was
  • Er geen bandbreedte limieten meer zijn
  • Iedereen bijna internet heeft
Vroeger bestonden er minder zaken op internet zoals facebook, dropbox die je privacy kunnen schenden maar daarom is dit allemaa niet slecht. Ik denk dat er veel voordelen aan dergerlijke diensten zijn.

Ik zelf gebruik bijvoorbeeld dropbox om bestanden gesynced te houden tussen mijn laptop en desktop computer. Die tool is SUPER handig, en is echt ideaal voor wat het moet doen. En zoals hierboven al is aangehaald, indien ik wil dat mijn bestanden beschermd worden kan ik ze altijd encrypteren. Dat mijn email adres daar gestolen kan worden en ik zo op een spam lijst kan komen, dit is al het geval vanaf het ontstaan van `accounts` op het internet, dut dit is echt niet nieuws. Het is alleen recent dat er veel meer wordt gehacked en dit veel publieker wordt gemaakt.

Ik kan wel in je uitleg inkomen dat tegenwoordig te veel mensen prive gegevens op internet gooiien. En faecbook is hiervan de ergeste van allemaal. Zij weten echt wel HEEL veel van je, en 90% van de gebruikers zal dit niet doorhebben. Maar facebook heeft toch ook weer zijn voordelen, je kan makelijker met elkaar contact houden met andere mensen, je weet want ander mensen die je niet veel ziet mee bezig zijn, ... (Ik ga niet zeggen dat de wereld niet zonder facebook kan bestaan, maar het is ook niet dat dit satan zelven is).

Al bij al, denk ik dat het internet er wel op verbeterd is, en ik ben wel een fan van cloud diensten als dropbox, google docs, ... Maar er zijn wel te veel mensen die te veel prive gegevens te grabbel gooiien.

Een groot probleem met al deze zaken is ook wat Dropbox zelf heeft voorgehad, en dat is dat eenzelfde wachtwoord op verschillende plaatsen wordt gebruikt. Ik kan dat ook begrijpen. Stel dat jet 5-6 accoutns hebt waar je regelmatig op inlogt op het internet en nog is een 6 waar je sporiadische op inlogt dan heb je dus al 12 wachtwoorden dat je zou moeten onthouden, dit is veel te veel voor gewone mensen. De meeste mensen hebben dan ook meestal maar een 3-4 tal passwoorden die ze hergebruiken op andere diensten.
Ik zal nooit gebruik maken van cloud diensten omdat het naïef en een illusie is te denken dat de boel veilig is.
Een bank kan ook beroofd worden, maar het is toch veiliger dan je geld in je matras duwen.
En niemand gaf zijn foto album vroeger aan een ander voor opslag, of zijn diploma's, of zijn scheidinspapieren of wat dan ook.
Natuurlijk wel, je legde dat soort belangrijke documenten vroeger bij de notaris.

Uiteindelijk blijft het een afweging of je gegevens bij professionals opslaan beter is dan zelf als amateur opereren.

[Reactie gewijzigd door Dreamvoid op 1 augustus 2012 11:03]

Natuurlijk wel, je legde dat soort belangrijke documenten vroeger bij de notaris.
of zo'n mooi kluisje bij de bank waar je zo'n prachtig rare sleutel van krijgt. ik had daar vroeger onder andere mijn geboorteakte liggen en foto's van m'n moeder.
Ik ben het deels eens met je mening. Vroeger waren sommigen dingen ook beter, maar……..

Dat gegevens zich naar de Cloud verplaatsen is een logische evolutie lijkt me. Internet neem je mee tegenwoordig en heb je in je broekzak. Je kunt 24/7 in principe bij je gegevens en gegevens van anderen. Dat biedt mogelijkheden en nieuwe business-modellen, maar vooral gebruikersgemak. Geen usb-sticks, geen flash-cards en vooral niet verbinden met je PC om data te synchroniseren.

Clouddiensten beginnen steeds volwassener te worden en dat geldt tevens voor de security mogelijkheden, (zie Google’s implementatie voor 2way authenticatie).

Een voordeel van de explosieve toename aan hacks is het feit dat er awareness wordt gecreëerd bij de gebruiker en vooral de getroffen bedrijven. Als gebruiker kun je Cloud-diensten gebruiken, maar zorg er voor dat je daar (voor jouw) niet kritische data opslaat. Mocht het onverhoopt een keer verkeerd aflopen dan is de schade beperkt.

En ja je levert een deel van je privacy in maar dat je vooralsnog vrijwillig volgens mij als je gebruik maakt van de betreffende --meestal gratis- dienst. Hoewel het ‘gratis’ je betaalt met je privacy namelijk. Als sommigen en plein air posten dat ze van periode x tot en y op vakantie gaan en vervolgens wordt hun huis leeggehaald is het toch echt stupiditeit van de gebruiker en niet de tool of dat het vroeger beter was.Vroeger kon je dat inderdaad niet gebeuren of je moest met een bord om je nek lopen met je vakantiedata erop.

Ja het gebruik van internetdiensten gaat gepaard met -soms gevoelige- privacy aspecten, maar weegt dit op tegen de mogelijkheden die het internet de afgelopen decennium heeft kunnen bieden en dat nog steeds doet. Net als de mensheid bijvoorbeeld de stenentijdperk heeft meegemaakt of de industriële revolutie (die China wederom doorloopt).
Maken wij nu deel uit van de informatierevolutie en zoals velen “revoluties” daar zitten nadelen aan, maar het over grote deel biedt mogelijkheden en kansen.
Fijn dat je dat vindt.

Maar voor sommige bestanden is het gewoon handig dat je er overal bij kunt, of dat het ergens gebackupt is. Een externe harde schijf is daarbij ook niet altijd een betere optie. Die kan ook affikken bij een brand of gejat worden bij een inbraak.

Kijk het is niet fijn als er gegevens buitgemaakt worden, maar dat heeft niets te maken met het delen van bestanden in de cloud. Waar hebben we het over? Hoe geheim zijn jouw bestanden? Als die heel geheim zijn kun je ze toch encrypten?
Stel, je staat in maastricht op het station en de trein is er nog niet.
Welk bestand zou dan handig zijn om bij te kunnen?

Ik kan me geen bestand indenken dat ik overal zou moeten hebben. En al helemaal niet automatisch gesynchroniseerd.

Verder zijn mijn bestanden niet geheim, dat houd nog altijd niet in dat iedereen ze maar kan inzien.
Kwa persoonsgegevens heb je geen privacy, voor foto's en bestanden nog wel.
Weet ik veel, maar dat kan zoveel zijn.
Maar hoezo het perron in Maastricht? Ik dacht eerder op het werk, op school, of andere plekken waar je achter een PC zit die niet van jezelf is.

Anyway, privacy qua foto's? Laat me niet lachen.
Kijk eens op Facebook?
Stel je zit op kantoor, en je zoekt een bestand. Maar wat blijkt, die staat op je thuis PC, en had je dus op een USB stick gezet die je nog steeds op je bureau hebt liggen.

Wat fijn dat ie inmiddels al gesynced is en op je werk computer staat. Dat is het voordeel van dropbox.

Ik, als webdeveloper, heb sommige van mijn prive projecten in dropbox staan (en mijn localhost webserver wijst naar die map) waardoor ik op meerdere computers (werk/thuis/bij mn ouders) bij die bestanden kan en vrolijk verder kan developen zonder dat ik steeds usb sticks of harde schijven hoef mee te zeulen.

Verder heb ik ook concerttickets op dropbox staan, zodat ik ze naar voren kan toveren op mijn telefoon wanneer ik bij de deur sta en geen tijd gehad heb om ze te printen (of ik ze vergeten ben).

OT :Erg kwalijk overigens deze hack. Maar hoe veilig je systeem ook is, er zullen altijd mensen in kunnen komen. Wel weer erg goed dat ze werken aan betere beveiliging. Straks eerst maar dubbele authenticatie aanzetten.
Een beetje it'er heeft toch gewoon ergens en 24/7 servertje draaien waarmee hij via een ssh connectie makkelijk aan zijn files kan. ;)
Dat is dan net zo goed een "cloud"-oplossing ipv alles offline opslaan.
Ben hier op het werk aan een klein project bezig dat ik transporteerde via men usb stick. Wenste de moeite niet te nemen om het in de cloud te zetten. Totdat je op donderdagavond thuiskomt, voor een lang weekend staat en merkt dat je die stick vergeten bent en in het weekend dus niet verder kunt werken.
Tussen een USB-stick (het sneaker-net van weleer) en Dropbox zitten heel veel grijstinten van remote toegang tot gegevens. Kies er een die voor jouw situatie ideaal is.
PS: weet je werkgever dat je met een USB stick werkt? Wat vindt hij/zij daar van? En waarom werk je in het weekend? En waarom niet op het werk? Waarom is de straat van het werk naar je huis eenrichtingsverkeer?
In welk tijdperk leef jij, 1980?
Tegenwoordig werken zat mensen deels thuis, dat heet heel mooi 'het nieuwe werken'.
Dat kan dan ook in het weekend.

En terug naar je werk rijden omdat je iets vergeten bent, tja, als dat een uur rijden is, dan doe je dat niet.
Dat kan dan ook in het weekend.
Nope, dan ben ik bezig met mijn leven :). Thuis ben ik thuis, op het werk ben ik aan het werk. Bazen proberen dat tegenwoordig nog wel eens te veranderen maar no way dat ik daar aan toegeef, want dan ben je voor je het weet altijd aan het werk. Voorbeeld: nieuwe machines zijn laptops zodat je 'overal' kunt werken. Sure.... wat jij wilt ;).

[Reactie gewijzigd door Rick2910 op 1 augustus 2012 11:15]

Tja, je kunt toch vrijdagmiddag wat eerder weggaan en die uren dan zaterdagochtend even inhalen. Perfect. Of woensdagmiddag, speciaal voor mensen met kinderen op de basisschool, bijvoorbeeld.

En bij sommige werkgevers wordt je standaard geacht over te werken. Niet mijn stijl, maar voor veel mensen wel.
Het is erg handig als je een laptop en een PC hebt die je beiden wel eens gebruikt voor projecten. Als ik thuis wil werken gebruik ik mn pc met groot scherm. Soms ga ik naar de bieb met mn laptop en dan ben ik blij dat alles gesynct is via dropbox.
En ja, natuurlijk kan dat ook via een USB stick. Maar dan loop je steeds bestanden te kopieren en loop je het risico dat je opeens met een oude versie zit te werken. Bovendien werkt dropbox ook als backup en versiebeheer systeem (je kunt oudere versies van bestanden terughalen).

Zelfde voor mn telefoon: elke foto die ik neem komt automatisch in dropbox. Als ik mn telefoon kwijt zou raken ben ik de foto's niet kwijt.

Nog iets heel anders: wat gebeurd er als je je dropbox folder via het windows filesysteem encrypt? Is het dan niet simpelweg VEILIG als dropbox gehackt wordt?
Jullie vergeten allen dat er niet alleen een beveiligingsrisico voor je bestanden die je bij Dropbox hebt gehost, maar ook dat de hacker informatie over je account heeft verkregen.
Dropbox heeft erkend dat er recentelijk een hack heeft plaatsgevonden en dat daarbij inloggegevens en emailadressen van gebruikers zijn buitgemaakt.
Ik heb zelf ook bestanden bij Dropbox staan, echter zijn dit bestanden die ik in een project voor school moest delen. Het maakt mij totaal niet uit als er wat met die bestanden gebeurd omdat ik de bestanden niet meer nodig heb en eigenlijk alleen een Dropboxaccount voor dat specifiek project heb aangemaakt.

Wat mij wel heel erg stoort is dat mijn e-mailadres buit gemaakt is. Onlangs kreeg ik e-mails van Euro Dice wat ik kon markeren als spam. Achteraf bleek dit door de hack te komen van Dropbox.

Ik krijg dus spam (voorheen nog niet eerder gekregen omdat het een specifiek e-mailadres is die ik alleen zakelijk gebruik) EN mijn bestanden zijn minder veilig geworden (wat mij in deze situatie minder uitmaakt maar toch..), doordat Dropbox niet zijn beveiliging op orde had.
Allereerst heeft DropBox een hack helemaal niet toegegeven.
Ten tweede, lekker boeiend, die spam. Dat haalt je spamfilter er toch gewoon uit?
Ten eerste, in het originele bericht stond dat Dropbox erkende dat er een hack heeft plaats gevonden (zie de quote in mijn bovenstaande bericht).

Ten tweede, je opmerking over dat je spam niet boeiend vindt slaat kant noch wal. Ik wens geen spam te ontvangen maar krijg deze alsnog vanwege dit verhaal. De spamfilter, filtert een hoop maar kan niet alles filteren. hoe dan ook hoort men gewoon geen spam te versturen vanwege het feit dat vele mensen het hindelijk vinden en niet op ongewenste reclame zit te wachten. Of je nu wel of geen spamfilter hebt.

Toevallig dat ik mijn mail zelf host en IK nu moeite moet doen om mijn spamfilter nog beter te configureren omdat ANDERE mensen mij lastig willen vallen.
Kom op zeg. Niemand wenst spam te ontvangen, maar jij deed alsof je e-mailadres gevoeliger is dan de data die op DropBox staat en dat het daarmee nog kwalijker zou zijn. Dát raakt kant noch wal. Kijk, het is jammer, maar spam is gewoon een fact of life.

Overigens heb ik er met GMail helemaal niet zoveel last van. Dat jij graag moeilijk wilt doen en een eigen mailserver wil, prima, maar dan moet je ook niet klagen dat je voor dat soort dingen verantwoordelijk bent. Dat wilde je zelf, en daar kunnen natuurlijk valide redenen voor zijn.
Maar het is niet voor niets dat bedrijven zich specialiseren op 1 ding en dergelijke "niche-taken" inkopen of uitbesteden. Je bent eigenlijk het wiel opnieuw aan het uitvinden.
Ik heb duidelijk uitgelegd dat in mijn situatie de bestanden die ik op Dropbox heb staan minder belangrijk vind dan dat mijn e-mailadres is buitgemaakt.

Dat ik wel of niet een eigen mailserver heb draaien is hier ook niet van belang. Ik leg mijn verantwoordelijkheid niet naast me neer dat ik mijn eigen spamfilter moet configureren. Maar het feit blijft dat door een bedrijf dat de beveiliging niet op orde had, mijn gegevens openbaar zijn gekomen waardoor er nu meer spam wordt verstuurd.

Wanneer ik mijn laatste alinea niet had geschreven in het vorige bericht had je waarschijnlijk niet gereageerd. Overigens zijn er veel meer mensen die last hadden van spam zoals je hier en hier en hier kan lezen. En ik geloof niet dat alle anderen een eigen mailserver hebben draaien.

[Reactie gewijzigd door ZeroXT op 1 augustus 2012 17:13]

Brand komt zelden voor en is geen argument om alles digitaal op te slaan waar het gejat kan worden door een of andere kid ergens in Azië bijvoorbeeld. Diefstal komt meer voor in de samenleving maar daar zijn ze niet op zoek naar je fotoalbum of echtscheidingspapieren. En je paspoort kun je beter opbergen dan in dat kastje, echt.

Encryptie is ook al geen argument. De bestanden kunne wel gejat worden. Ik voel me niet veiliger wetende dat ik een zware encryptie op MIJN bestanden heb die ergens liggen te wachten, als een tijdbom, totdat iemand uiteindelijk de encryptie doorbreekt. Vergelijk het met een kluis die door inbrekers uit je huis gejat wordt. Ik voel me niet beter wetende dat er een plasma lans op gezet wordt en dan hebben ze alsnog mijn spullen.

Een kluis of een cloud is een groot uitroepteken. Elke inbreker gaat voor de kluis. Weinig mensen hebben een lege kluis als afleiding terwijl de waardevolle spillen gewoon onder het bed liggen. Elke internet crimineel ziet een cloud dienst als een gouden hoorn des overvloeds, wat je daarin al niet kunt vinden. En het mooie is, die 'kluis' is oneindig groot. In de cloud zoek je niet naar inhoud maar naar de sleutel, want je hoeft maar een loser te vinden die al zijn wachtwoorden in een bestandje zet en het daar 'veilig' bewaard en je kunt iemand strippen tot op het bot.

En...als zoals je zegt, hoe geheim zijn je bestanden? Wel, als het onbelangrijke bestanden zijn die overal vrij op internet te vinden zijn, dan zie ik het nut er niet van in, want dan heb je geen cloud dienst nodig, je kunt ze immers ook gewoon elders halen of downloaden. Dan praat je over mp3's, wat filmpjes, misschien een e-boek en misc rotzooi. Wel, daar hoef je ook niet echt bij als je op vakantie gaat.
Maar wie neemt nou een 'overwogen' risico voor 2 of 3 weken vakantie? En als je op vakantie gaat, dan neem je je laptop zowiezo mee, en daar staan die bestanden ook op.
Een cloud is geen oplossing voor een probleem, het is ent als met zo veel dingen, gewoon iets wat je wordt aangepraat.

En ik had bijna ooit een account bij dropbox... Omdat ik iemand wilde helpen met wat grote files. En zo blijkt voor de tigste keer dat mijn terughoudendheid om accounts aan te maken al wat oplevert.
HUH? Onder welke steen leef jij?
Brand is juist een hele logische reden om dingen op 2 locaties op te slaan. Het komt weinig voor, maar je bent wel alles kwijt.

En encryptie is juist hét argument. Het is niet dat het dan onbreekbaar is, maar het is zeer de vraag of het dan de moeite waard is om veel geld en tijd te besteden aan een (brute force) hack. We hebben het hier dus over prive bestandjes die niet gevoelig zijn heh? Niet echt, in ieder geval. Voor echt gevoelige dingen heb je wellicht gelijk, maar daar moet je dan wat anders voor verzinnen.

En dan vakantie, waar haal je dat argument uberhaupt vandaan? Ik heb het niet genoemd. Het kan een uitstekend voorbeeld zijn van een moment dat je bij dingen wilt die je niet bij je hebt, dus het slaat ook nog eens nergens op. Niet iedereen neemt zijn laptop mee, en niet iedereen heeft alles op zijn laptop staan.Nee, het gaat meer op allerlei momenten dat je je eigen systeem en data dus NIET bij je hebt. Nogmaals: op je werk, op school, bij vrienden en whereever. Cloud is bij uitstek een oplossing voor dit soort problemen. Niet voor alle problemen, dat is waar, maar jij laat je nu een soort angst aanpraten die vergelijkbaar is met de angst voor kernenergie. Over aanpraten gesproken.

Overigens heeft je terughoudenheid je niks opgeleverd, want DropBox is dus NIET gehackt en je hebt ongetwijfeld een hoop andere accounts, minimaal Tweakers. Ooit, ergens zal een van die gehackt worden. Nou ja, dat is hoogstwaarschijnlijk allang gebeurd.
In aangepast vorm heb je dat nu ook al, tenzij je uw toestellen niet aan het internet hangt.
Als je een worm, backdoor, trojan, ... op uw pc hebt, vallen die gegevens ook in criminele handen, en misschien maken ze veel meer buit dan enkel een emailadres.

Zoals hierboven gezegd: in-house is niet per sé veiliger.
Zelfs offline is dat niet, kijk maar naar de centrifuge-installaties in Iran. Ze hingen niet aan het internet, maar via USB-sticks is er toch een virus op terecht gekomen...

Misschien moet je gewoon, zowel online als offline, zowel cloud als eender wat, heel aandachtig zijn voor veiligheid.
Ik ben erg blij met mijn cloud-provider (Wuala), die mij meer dan 100GB aan opslag geeft. Op mijn devices (desktop, laptop, tablet, telefoon) kan ik zodoende altijd over de meest recente versies van bestanden beschikken. Ik kan dus zonder enige moeite wisselen van device, bijvoorbeeld tussen desktop en laptop. Of in vergadering/meeting even een bestand opvragen via mijn tablet of telefoon. Heerlijk gewoon!

Mijn 'cloud-storage' is gewoon beschikbaar als netwerkstation op desktop/laptop (met lokale caching) en via een app op mijn mobiele apparaten. Daarnaast kan ik off-site backups instellen, die dan niet gesynchroniseerd worden, maar wel via de netwerkschijf beschikbaar zijn. Of gewoon eenmalig bestanden 'in de cloud' gooien. En natuurlijk synchronisatie van mijn KeePass bestanden, zodat ik overal over mijn wachtwoorden kan beschikken.

En het mooiste van alles: al mijn bestanden worden op de device versleuteld (AES256) voordat ze verstuurd worden! Geen risico dat onbevoegden deze kunnen lezen dus, want mijn zeer sterke wachtwoord heeft een hoge entropie. En kan ik aflezen op mijn PasswordCard die altijd in mijn portemonnee zit, mocht dat nodig zijn.
en dan verlies je je telefoon of hij wordt gejat en dan zijn je gegevens wel veilig.
Keyloggers, file system watchers en ga zo maar door. Mogelijkheden genoeg.
Dat is schijnveiligheid. Maak je gebruik van een recente smartphone met een eigen app-ecosysteem (iOS, Android, Windows) zweven je gegevens ergens in de cloud that's part of the deal
Dit heeft niets met cloud diensten te maken. Dit kan ook bij andere netwerkdiensten die niet in een cloud zitten gebeuren.
Er is al tijden geleden aangetoond dat je vanaf 5 or meer meter zelfs kan "meten" wat de electronische aanslagen van je wired keyboard zijn.

Dus, usb kabeltje zal niet anders zijn.
Had het eerste bericht gemist, waarschijnlijk was ik toen op vakantie. Ben blij dat ik me dropbox niet zo veel meer gebruik!
Of je het nu veel of weinig gebruikt, als je het gebruikt dan bestaat de kans dat nu dus je emailadres + wachtwoord bekend zijn bij hackers.
Gelukkig gebruik ik voor dingen zoals dropbox een ander wachtwoord als me mail en andere belangrijke zaken :)
De wachtwoorden zijn niet gestolen bij dropbox zelf. Als je een uniek wachtwoord gebruikt (wat je zou moeten doen) dan is er niets aan de hand.
Ik vind dat een mooi streven. Maar het wordt steeds moeilijker gemaakt. Ik heb inmiddels een lijst van meer dan 30 inlognamen en wachtwoorden en dan zijn het gewone dingen als mailadressen, social media, webwinkels etc.
Heb al meerdere malen een systeem proberen te bedenken. Zoals -eerste 4 letters webdienst-vast wachtwoord- cijfer. Maar ook daar is geen beginnen aan. Ik ben nu volledig afhankelijk van m'n Blackberry om wachtwoorden te onthouden.
Gebruikersnamen en wachtwoorden, neem aan dat een dienst zoals dropbox toch wel een salt gebruikt bij het opslaan van de wachtwoorden...

En een lijst met e-mailadressen van gebruikers in je dropbox?? Why?
Vooral dat laatste inderdaad, die medewerker verdiend een officiele waarschuwing/ op staande voet ontslag!
In het kader van "Eerst schieten, dan vragen"?
Ongeveer ja.
Corporate data hoort op corporate opslag, niet in de (prive) Dropbox-folder van een medewerker.
Het lijkt me dat Dropbox intern wel een "standaard" storage-systeem gebruikt.
Assumptions are the mother of all fuckups.
Misschien was het wel simpelweg een mailinglist ivm iets waar hij mee bezig was. Er staat nergens dat dit een enorme lijst was die hij niet had mogen hebben. Misschien is het wel zo, maar daar ga je maar van uit.
De aanname was in dit geval dat het geen kwaad kon om deze gegevens daar op te slaan, en om die gegevens met een generiek wachtwoord te beveiligen. Zoveel is wel duidelijk, laten we de zaken niet omdraaien.
Ja, en dat lijkt me PRIMA voor een klein lijstje met emailadressen.
Jij draait de boel om.
Paswoorden zijn niet gestolen bij hen. Ze gebruiken usernames en paswoorden die van andere website hacks om in te loggen en hebben zo eentje van hun medewerkers te pakken gekregen.

Ze geven dan ook de ironische raadgeving:
"At the same time, we strongly recommend you improve your online safety by setting a unique password for each website you use."
Had die medewerker dat maar gedaan.

(/me is blij dat hij een uniek paswoord heeft voor zijn dropbox account)
Nadat de email adressen zijn gelekt moet je nu ook je telefoonnummer aan Dropbox geven en zelf je account gaan monitoren voor rare activiteiten. De overlast veroorzaakt door deze maatregelen is veel erger dan een paar spam mailtjes ontvangen.
Is two-factor-authentication geen hele vreemde zet in een tijd waarin single sign-on steeds meer en meer een eis wordt in plaats van een wens? Ik, en waarschijnlijk velen met mij, ga hier geen gebruik van maken, aangezien in Dropbox/Skydrive alleen benader vanaf trusted devices.De laatste alinea klinkt veelbelovend, ik ben erg benieuwd hoe ze het laatste puntje invullen.
Als het systeem gaan gehackt wordt zie je echt geen actieve login op die pagina. Tja, het is makkelijk om je ergens anders uit te loggen als je dat vergeten bent maar als extra laag van beveiliging zie ik het absoluut niet.
Huh? Als er iemand van een vreemde locatie jouw account gebruikt, dan zie je dat toch?
Je doet het nu voorkomen of Single-Sign-On en two-factor-authentication twee zaken zijn die elkaar uitsluiten, terwijl dat helemaal niet zo is.

Single-Sign-On is een term die wel vaker verkeerd begrepen wordt, maar doelt op mechanismes waarbij je één keer per sessie jezelf authenticeert en vervolgens toegang krijgt tot allerlei systemen, waarbij de authenticatie verder op de achtergrond plaatsvindt middels federatieve technieken.

Die eerste keer authenticeren voor Single-Sign-On kan prima met behulp van twee factoren zijn. Zonder dat je daarmee afbreuk doet aan het Single-Sign-On principe.

Natuurlijk is two-factor authenticatie wel bewerkelijker voor de gebruiker dan single factor, maar met Single-Sign-On heeft het weinig te maken.
Ik en waarschijnlijk velen met mij?
Waar baseer je dat op? Kun je dat onderbouwen? Ik zou die optie zeker aanzetten overigens. Maar het blijft een keuze natuurlijk.
"jullie wachtwoorden zijn gejat, sorry hiervoor"

Ik blijf me er over verbazen hoe makkelijk mensen / bedrijven hiermee weg (denken te) komen.
En wat denk je dat die mensen/bedrijven dan moeten doen? Elke gebruiker een schadevergoeding van xxxx euro? Ook de niet betalende gebruikers ?
Zolang de gebruikers er niet speciaal extra aandacht aan besteden, geraak je er blijkbaar zonder problemen mee weg.
Als dropbox plots 40% van het klantenbestand ziet weglopen en nauwelijks nog nieuwe klanten/gebruikers aantrekt, zullen zijzelf en concurrerende diensten plots heel veel aandacht aan de feature "veiligheid" gaan besteden. Tot die tijd zal iedereen blijven aanmodderen...
Er zijn geen wachtwoorden gejat bij dropbox.
Eén van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin emailadressen van een onbekend aantal gebruikers.
En waarom in godsnaam zou iemand dat doen?

Wel mooi dat ze het willen toegeven dat ze zo redelijk in de fout zijn gegaan, maar ik mag hopen dat die persoon ten minste een fikse uitbrander heeft gekregen of misschien zelfs aan de deur is gezet. Er is geen enkele reden denkbaar om productiegegevens zo maar ergens te kopiëren.
Ja, wat een drama. Hij heeft een lijst met emailadressen.
<sarcasme> Hup, naar de rechter! </sarcasme>

Waarom wordt ik nou downgemod? Het is toch duidelijk dat "een lijst met emailadressen" niet direct een probleem is. Kan heel normaal zijn, al hoeft dat niet.

[Reactie gewijzigd door Martao op 1 augustus 2012 09:53]

En waarom in godsnaam zou iemand dat doen?
Nou als je bezig bent met het ontwikkelen van software is dat soms onvermijdelijk . Echter dergelijke machines met gevoelige data horen streng bewaakt en in quarantaine geplaatst te worden. En dat gebeurt dus lang niet altijd.
Sorry hoor, ik ben dagelijks met enorm gevoelige gegevens bezig en geen haar op mijn hoofd denkt er aan om privacy-gevoelige gegevens uit de databanken te kopiëren en op mijn werkstation te zetten.

Akkoord, als je een nieuwe filter voor e-mails aan het ontwikkelen bent kan je misschien wel eens een hoop adressen erdoor willen jagen om te kunnen testen, maar dan nog moeten die altijd lokaal blijven staan. En dan zou ik echt niet meer dan 1000 adressen kopiëren, want anders kan je beter een klein programma te schrijven dat elk adres uit de databank gaat uitlezen en telkens gaat testen. Zo ben je helemaal veilig bezig.

Het lijkt me altijd vermijdelijk, maar ik kan wel begrijpen dat het gebeurd. Maar dan nog zet je zo'n bestanden normaal gezien niet in de cloud...

[Reactie gewijzigd door Glodenox op 1 augustus 2012 10:05]

Sorry hoor, ik ben dagelijks met enorm gevoelige gegevens bezig en geen haar op mijn hoofd denkt er aan om privacy-gevoelige gegevens uit de databanken te kopiëren en op mijn werkstation te zetten.
Goed zo, uitstekend. Maar bedenk goed dat tegenover 1 van jou, makkelijk 1000 developers staan die er domweg niet bij stil staan, of niet bij stil mogen staan omdat dat allemaal maar tijd kost.
Tja daarom zei ik ook "quarantaine" maar als je het nieuws van enorme datalekken een beetje hebt gevolgd, dan weet je ook dat het lang niet altijd hacks zijn maar veel vaker een of andere onbenul die met een complete kopie van zo'n database aan de wandel gaat. Dat jij je daar -gelukkig!- van bewust bent geeft natuurlijk geen enkele garantie voor je collega's (en dat kan ook -en vaak juist- je manager zijn bijvoorbeeld 8)7 )

Dus een betere waarborg is het identificeren van alle apparaten waar dergelijke informatie op kán staan, en voorkomen dat die het pand verlaten (of aan het internet komen te hangen). Overigens is dat natuurlijk nog steeds geen garante, want als iemand kwaad wil is dergelijk data zo op je smartphone gezet...

[Reactie gewijzigd door ronaldvr op 1 augustus 2012 12:12]

Wie zegt dat het 'zomaar' is gebeurt? Dropbox heeft ook Dropbox for Business (Teams), zou me niets verbazen als ze dat zelf ook gebruiken. We hebben het hier over simpele e-mail adressen en niet over wachtwoorden en/of CC gegevens, dat is imho niet super gevoelige informatie. Een system admin heeft vaak ook remote toegang tot de meeste ifnot alle systemen, als iets dergelijks wordt gehacked (daar noem ik ook social engineering onder), ben je veel verder van huis.

Is het slordig dat dezelfde ww worden gebruikt voor een andere gehackde dienst? Ja, maar soms zit je in de IT en word je werkelijk overspoelt met userids en ww, het is niet houdbaar als 50+ logins moet onthouden die elke paar weken moeten worden reset. Opschrijven is helemaal een big no-no. Wat ik wel doe is een andere set ww gebruiken voor werk dan voor privé. Two factor autentication is leuk, maar je mag dan in principe weer niet op de token zetten waarvoor het is, daar wordt je niet vrolijk van als je met een keyring vol rond loopt met die dingen.
Oude Dropbox account - login met ww. voor onbelangrijke prullen - OEF.

Ik dacht even een sterker wachtwoord (belangrijker) gebruikt te hebben :)
De zoveelste hack op X bedrijf. Mensen die hun wachtwoord(en) eigenlijk nooit veranderen en overal dezelfde gebruiken lopen de grootste risico.

Je kan hier controleren of je uberhaupt ergens op een lijstje gevonden bent:

http://pwnedlist.com/

Je kan als je deze site niet vertrouwd ook een SHA-512 hash meegeven. Die kan je hier maken.

Zowiezo raad ik mensen aan om voor elke website een ander email adres + wachtwoord te gebruiken.

Veel email addressen kan je bijvoorbeeld door een catchall in te stellen op je domeinnaam. Hierdoor komt dan alles wat voor de @'tje staat in 1 mailbox terecht. Een handige manier is dan dus ook bijvoorbeeld voor dropbox je account email: "dropbox@domein.nl" aan te maken.

Zo weet je meteen als er naar dat adres spam verstuurd wordt of die partij gehacked is. Of je prive gegevens heeft doorverkocht/doorgegeven aan derde partiijen. Ok, dat is niet 100% zeker maar het geeft een indicatie dat er iets fout is gegaan daar.

En wachtwoorden opslaan kan je het beste doen met een keystore/keychain tool. Er zijn er genoeg. Zo hoef je niet zelf voor elke website dat stomme wachtwoord te onthouden.

[Reactie gewijzigd door Phoenix_the_II op 1 augustus 2012 09:22]

Ja, want iedereen heeft een eigen domeinnaam.

Overigens kan het ook op GMail: email+extensie@gmail.com
De plus en alles er achter wordt genegeerd door Google, al accepteert niet iedere site het.

Overigens, voor elke site een ander user/pass is compleet onhaalbaar natuurlijk.
Leuk bedacht, maar je raakt alleen maar door de war. Heb het geprobeerd, maar wordt alleen maar vervelend. Misschien dat een enkeling het wel kan, maar de massa gaat nooit gebeuren.

[Reactie gewijzigd door Martao op 1 augustus 2012 09:36]

Oh, en een domeinnaam met email service is tegenwoordig echt niet zo duur.

Als je je achternaam als domeinnaam registreert kan de hele familie er ook nog eens gebruik van maken! (Voornaam@achternaam.nl).

Zo ben je niet afhankelijk van je ISP die email meelevert. Of google/microsoft die meekijkt in je email voor betere ads op je af te vuren.
Misschien dat een enkeling het wel kan, maar de massa gaat nooit gebeuren.
Eigenlijk zou er helemaal geen password veldje meer moeten bestaan. Maar zou iedereen met het OS dat je hebt een keystore moeten bijkrijgen. Zo wordt iedereen verplicht een dergelijk tool te gebruiken ipv. wachtwoorden onthouden.

Natuurlijk komen er dan wel weer hacks gericht op de keystore en zijn encrypted bestanden. Maar dat is dan op de individu in plaats van dat er meteen miljoenen gegevens op straat liggen.
Oh, en een domeinnaam met email service is tegenwoordig echt niet zo duur.
Niet duur, maar waarom zou ik het doen?
Het blijft onnodig geld uitgeven. Ik ben uitermate tevreden over Gmail (die ads zie ik toch niet)
Eigenlijk zou er helemaal geen password veldje meer moeten bestaan. Maar zou iedereen met het OS dat je hebt een keystore moeten bijkrijgen. Zo wordt iedereen verplicht een dergelijk tool te gebruiken ipv. wachtwoorden onthouden.
Zou een enorm veiligheidsrisico kunnen zijn, maar zou wel mooi zijn als Microsoft zoiets zou ontwikkelen voor Windows inderdaad.
Eigenlijk zou er helemaal geen password veldje meer moeten bestaan. Maar zou iedereen met het OS dat je hebt een keystore moeten bijkrijgen. Zo wordt iedereen verplicht een dergelijk tool te gebruiken ipv. wachtwoorden onthouden.
Lekker handig, "hee mijn OS boot niet meer, even opnieuw installeren" = keys weg... Of even ergens anders inloggen op een website. gaat ook zo handig als je keys alleen thuis staan. Want die info op een cloud zetten werkt dat ook niet zo veilig..

Voor IT'ers nog niet zo'n probleem, maar voor truus en kees voorzie ik toch echt grote problemen....
Backup/Replicatie via SkyDrive?
Nogmaals, dat geeft wel veiligheidsoverwegingen, maar het kan allemaal prima.
Voor iedere site een ander wachtwoord, dat is goed mogelijk, gewoon een eigen algoritme ontwikkelen.
Nee. Gewoon nee. In ieder geval niet voor iedereen.

Heb het zelf geprobeerd, maar het is ófwel niet te onthouden, ófwel dusdanig dat een hacker het kan opbouwen uit een gecompromitteerd wachtwoord.
Eh... jij denkt dat als een hacker 10.000 wachtwoorden buitmaakt op een dienst als hakkietakkie (plaintext, omdat de beveiliging niet deugt), dat hij alle 10k wachtwoorden gaat analyseren op algoritme, zodat hij met het gecrackte algoritme misschien met 1 account kan inloggen op dropbox/gmail?

Ik denk dat hij gewoon gaat proberen in te loggen. Werkt het niet met hetzelfde wachtwoord, dan --> /dev/null . Publicatie van de gegevens is wél een gevaar, echter heb je het dan over iemand die jou kent en heel doelmatig iets van jou wil. Je bent dan wel echt een target, lees: een van de tienduizenden, dus ook die kans lijkt me klein (tenzij je naam iets in de richting van Bill Gates is).

Tot slot, een goed algoritme is helemaal niet zo moeilijk te verzinnen. Maar als je er écht moeite mee hebt, kies dan een applicatie zoals keepass, lastpass, 1password en gebruik een browser plugin. Dan kan je zonder algoritme voor iedere site een supercomplex wachtwoord genereren, die je zelf nooit hoeft in te toetsen.
Tja, ik heb het geprobeerd, maar voor mij was het lastig.
Als tweaker / WO-opgeleid persoon. Dus hoe gaat het dan met de rest van het land, 3 keer raden.

Ik gebruik wel Keepass, maar een grote verscheidenheid aan wachtwoorden blijft lastig Telkens opzoeken kost gewoon teveel tijd. Een browser plug-in, daar moet ik nog aan, dat lijkt me wel handig. Maar dan nog zit je met toegang vanaf andere systemen. Dan kan je natuurlijk zoiets via een online service doen, maar hoe veilig is dat dan weer met al die hacks!?

Als je goede tips hebt, stuur me dan ff een PM :P

[Reactie gewijzigd door Martao op 1 augustus 2012 13:30]

Ja en dan bedenkt een spammer dat het leuk is om het hele voornamenboek@jouwdomein te versturen. Ik heb sindsdien mijn catch all weer uitgezet.
Voorlopig heb ik toch een beter gevoel bij mijn google account, waar ik al de two-step verification gebruik.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Websites en communities Lumia Smartphones Laptops Sony Apple Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013