Ze
zegt het inderdaad wel, maar als je de voorwaarden of blogs leest, bevestigen ze het nergens:
Privacy & Cookiestatement WeTransfer. Het gaat er volgens mij meer om dat hun verdienmodel de "advertorial wallpapers" en betaalde accounts zijn, in plaats van jou als gebruiker zo goed mogelijk leren kennen en daar geld mee genereren (in tegenstelling tot Google).
Na wat meer zoeken, staat dit nl. wel in de privacy statement: "WeTransfer does not proactively monitor the content of a transfer, and cannot edit or see what you send via the platform.", maar niet hoe. Ook in de helpdesk (
How secure is your platform?) leggen ze alleen uit dat ze het versleuteld opslaan. Dat is geen "Zero knowledge" als ze het nog steeds zelf weer kunnen ontsleutelen.
Zero knowledge betekent bijvoorbeeld dat ik als gebruiker de encryptiesleutel lokaal kan invoeren, bestanden daarmee worden versleuteld vóór ze naar de service gaan - en de service niet over die sleutel kan beschikken. Daarmee is het technisch zekerweten niet mogelijk voor de service om die bestanden te ontsleutelen.
Bij WeTransferr worden bestanden via een encrypted verbinding verstuurd en encrypted opgeslagen, maar met een sleutel die ze zelf genereren. Dat kan een afgeleidde zijn van je wachtwoord, maar in het ergste geval ook iets algemeens/statisch wat voor alle gebruikers hetzelfde is (en alles wat daar tussenin zit). Omdat ze dat zelf bedenken (al dan niet op basis van bijvoorbeeld je wachtwoord) kunnen ze het reproduceren - en als ze het willen dus toch bij je bestanden.
Of dat daadwerkelijk zo is, hangt af van hoe die sleutel tot stand komt en hoe andere zaken security-wise zijn ingericht, maar daar zijn ze maar beperkt transparant over - en onderaan de streep garanderen ze dus geen zero-knowledge.
[Reactie gewijzigd door Roelant op 22 juli 2024 20:58]