Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 56, views: 35.190 •

Gebruikers op het forum van Dropbox klagen over het ontvangen van spam op e-mailadressen die ze alleen voor de clouddienst gebruiken. In sommige gevallen melden gebruikers dat de spam ge-cc't is naar mensen met wie ze bestanden via Dropbox gedeeld hebben.

DropboxEen van de gebruikers startte een topic op het forum van Dropbox met een vraag over de spam die hij ontvangt op zijn e-mailadres dat hij alleen voor de clouddienst gebruikt. Dropbox-moderators veronderstelden in eerste instantie dat spammers hit-&-miss-technieken hadden gebruikt, totdat er meer gebruikers begonnen te klagen. Een daarvan heeft een e-mailadres van tien willekeurige tekens speciaal voor Dropbox ingesteld.

Vervolgens veronderstelden de moderators dat het recentelijk gehackte Zendesk de e-mailadressen gelekt had. Dropbox gebruikt Zendesk om support tickets te beheren, en gebruikers die een ticket aanmaken bij Zendesk moeten daarvoor hun e-mailadres achterlaten. Zendesk bleek volgens veel gebruikers ook niet de boosdoener, omdat er ook spam verstuurd wordt naar mensen die nog nooit gebruik hebben gemaakt van het systeem.

De verstuurde spam lijkt vooral uit phishing-mails te bestaan, die correspondentie van onder andere Apple, LinkedIn en PayPal imiteert. Er zijn gebruikers die melden dat de spam die ze ontvangen ge-cc't is naar gebruikers met wie ze bestanden gedeeld hebben via de clouddienst, wat er op lijkt te wijzen dat de e-maildressen uit het systeem van Dropbox afkomstig moeten zijn. De Dropbox-moderators ontkennen het probleem ondertussen niet meer, en hebben gemeld dat Dropbox dit probleem tot op de bodem uit zal zoeken.

Dropbox heeft in het verleden vaker te kampen gehad met beveiligingsproblemen. In juni 2011 was het bijvoorbeeld enkele uren mogelijk om op de clouddienst in te loggen zonder geldig wachtwoord. In juli 2012 klaagden gebruikers ook over het ontvangen van spam op e-mailadressen die ze alleen voor Dropbox gebruikten. Na onderzoek door een extern team van beveiligingsonderzoekers, meldde Dropbox dat er geen aanwijzingen waren voor een hack.

Reacties (56)

Hier idd ook, was me al opgevallen dat ik meer spam kreeg (in m'n spambox) en inderdaad fishing van 'LinkedIn' op een emailadres dat ik alleen gebruik voor een tweede dropboxaccount.
Toevallig inderdaad een mailtje over linkedin gehad. Ik zag ook wat collega's in de CC staan waarvan ik weet dat ze ook dropbox gebruiken!
Ja, wordt al weken lastig gevallen met mailtjes die zogenaamd van linkedin zijn. En sinds een dag of 4, 5 ook PayPal.
Hey daar komt het dus van! Had ook last van paypal mail terwijl mijn mail niet bij paypal aangemeld is.
Ja ik ook, allemaal horloges die zogenaamd op mijn account zijn aangeschaft. Die spam mailtjes worden steeds realistischer vormgegeven. Ik heb ze doorgestuurd naar spoof@paypal.com, wel 'fijn' te zien dat meerdere mensen dit hebben, is het tenminste nep.
PayPal kwam bij mij ook binnen! Maar wel op het verkeerde emailadres, jammer voor de spammers. Verder nog niets gehad.
Idem hier.

De hele resem gehad: Paypal, LinkedIn, Valse Horloges, ...
Regelmatig ook van BNP Paribas Fortis, al denk ik niet dat dit hiermee te maken heeft.
Vandaar, ik snapte er al niks van. Ik heb een catchall address en opeens kreeg ik Casino Ruby mails binnen op adressen die ik nooit gebruikte, waarschijnlijk een paar clone accounts gemaakt :)
Vond het al zo opvallend dat de hoeveelheid spam(in de spambox dat dan weer wel) flink was toegenomen. Van enkele per week naar tientallen per week. Voornamelijk Linkedin maar ook PayPal en Ruby Online.

Verder niet naar omgekeken. Maar naar aanleiding van dit artikel de spam eens bekeken en een groot deel van de personen waarmee ik iets deel op Dropbox staan inderdaad in de CC. Zou erg slechte zaak zijn als alle e-mail accounts openbaar zijn. Ben benieuwd waar dropbox mee komt.
Ruby krijg ik dus ook constant, sinds een week eigenlijk. Moet ook zeggen dat dat voor het eerst is dat ik spam krijg op dit Gmail adres, terwijl ik er toch redelijk voorzichtig mee ben.

Heel storend...
1 Linkedin mailtje ook gehad maar was al afgevangen door MS (gebruik een outlook.com mail-adres)

Aangezien mijn provider ook al eens problemen heeft gehad krijg ik nu vrijwel dagelijk een aantal spamberichten binnen. Ach je leert er mee leven :)
1 Linkedin mailtje ook gehad maar was al afgevangen door MS (gebruik een outlook.com mail-adres)

Aangezien mijn provider ook al eens problemen heeft gehad krijg ik nu vrijwel dagelijk een aantal spamberichten binnen. Ach je leert er mee leven :)
Mijn idee, Ik gebruik gmail nu al sinds "d'n beginne" en sinds zij het spamfilter hebben, komt 99% gewoon in de betreffende map terecht.
1x per maand een keer op delete all, en het is weer verdwenen, net als de papieren folders in de gang ... oudpapier, delete all ...
Ik heb er dan ook geen last van, en de mails die erdoor schieten, tja ... het is iets van deze tijd ...
Maar om het storend of zelfs ernstig te noemen ( dat ik ze krijg ) kan ik ook niet zeggen.
Wel hoop ik dat DB het oplost, en dat ze het kunnen tegengaan in de toekomst.
www.truecrypt.org en een USB stick met een mobiele versie van TrueCrypt aan je sleutelhanger. Altijd veilig op weg met je bestanden.

Ook weg trouwens met de mythe dat een container van 5 gb in een dropbox van 5 gb bij elke wijziging volledig opnieuw geupload wordt. Dropbox herupload enkel de 512 kb-blocks die veranderd werden.

Dropbox is een prima dienst, maar je moet zelf je hoofd er bij houden.

Wat betreft de spam, het is natuurlijk niet leuk en het zou niet mogen maar het gebeurt toch. Daarom ben ik blij dat Gmail een goeie spamfilter heeft. Om andere 'ongelukjes' te vermijden gebruik ik voor alles een ander, random paswoord in combinatie met Keepass.

Fancy is het niet, maar het is toch het minimum dat je als bewuste internetter zou moeten doen vind ik.

[Reactie gewijzigd door tony_clifton op 1 maart 2013 11:07]

Het gaat hier niet over het stelen van de bestanden van de gebruikers, maar om de e-mail adressen die gebruikt zijn voor de registratie. Een Truecrypt volume veranderd hier niet zo heel veel aan.
Nee, stick vergeten en je kan niet aan je bestanden. Da's al.

Mijn punt is dat je gewoon er van uit moet gaan dat dat gebeurt want HET GEBEURT.

Dat TC slaat op de laatste alinea, omdat je dropbox blijkbaar al eens publiek open gestaan heeft.

1 - Inhoud beveiligen
2 - Niet zeuren wanneer je email gelekt wordt, want je kan het toch niet tegenhouden, dus handel proactief, zoals dat speciale emailadres voor elke dienst (gaat mij persoonlijk te ver)
3 - elke dienst een ander paswoord

Mod mij maar omlaag maar dat is pretty much 't minimum dat je kan doen vind ik hoor :').
Ik gebruik Dropbox vooral om bestanden vanaf mijn telefoon naar de PC te verplaatsen. Daar gaat een USB stick niet bij helpen ;)
Jij kunt dan bijvoorbeeld Boxcryptor gebruiken om de boel te beveiligen. Iemand die onverhoopt in je Dropbox terecht komt kan verder niets met je gegevens aanvangen.
Of je bedenkt van te voren WAT je wil delen, en of het openbaar mag zijn of niet.

Mijn Dropbox is gevuld met "vrij" verkrijgbaar materiaal, geen gegevens of andere dingen die ik niet wil 'delen'
Nog geen spam gezien dus misschien gaat het wel langs me heen. Naja de komende tijd m'n e-mail maar extra goed in de gaten houden.
Dit gebeurt zooo vaak, met verschillende diensten...

Nu is er sinds een goede maand bijvoorbeeld ook een flinke spamrun bezig op mijn mailadres (diabox@mijndomein.com) voor de Diabox. Een tijdelijke dienst van de Diabetesvereniging en anderen om een voorlichtingsdoos (de Diabox) toegestuurd te krijgen, welke eindige in 2007...
Nu is er sinds een goede maand bijvoorbeeld ook een flinke spamrun bezig op mijn mailadres (diabox@mijndomein.com) voor de Diabox.
Dat is inderdaad goed mogelijk als je je e-mail adres plaintext in een reactie op een publieke site als Tweakers.net plaatst, :+
Misschien een medewerker die het gestolen heeft uit het systeem?
Gelukkig nog geen last van gehad, maar merk wel van andere sites dat hier het zelfde gebeurd. Zo heb ik ooit een WOW account gemaakt en kreeg nooit emailtjes over log nu hier in voor account security (om me wachtwoord in te vullen, sure!), maar sinds die account krijg ik toch wel dagelijks berichtjes!

edit voor in topic: In juni 2011 was het bijvoorbeeld enkele uren mogelijk om op de clouddienst in te loggen zonder geldigd wachtwoord.

Op dit item kan niet meer gereageerd worden.