Dropbox gaat kwetsbaarheid dichten

Dropbox gaat een beveiligingsprobleem, waarbij het stelen van één bestand genoeg is om toegang te krijgen tot alle bestanden in een Dropbox-account, binnenkort dichten. Nu al is het stelen van het host.db-bestand moeilijker gemaakt.

De opslagdienst Dropbox, die gebruikers bestanden laat synchroniseren met de Dropbox-servers, gaat een update uitbrengen om een onlangs ontdekt beveiligingsprobleem op te lossen. Beveiligingsonderzoeker Derek Newton ontdekte begin deze maand dat de opslagdienst een sleutel met de naam 'host_id' gebruikt om een computer aan een account te koppelen. Wie de host_id-waarde kopieert, kan hiermee ongemerkt inloggen op iemands Dropbox-account. Het host_id is opgeslagen in een configuratiebestand met SQLite als bestandsindeling. Opvallend is dat het host_id niet is gekoppeld aan gebruikersnaam of wachtwoord.

Dropbox stelde aanvankelijk dat het niet om een beveiligingsprobleem gaat, omdat nog steeds toegang tot iemands computer vereist is om toegang te krijgen tot het desbetreffende configuratiebestand. Toch heeft het bedrijf een software-update uitgebracht, waardoor het SQLite-bestand beter beschermd is tegen kopiëren. Ook gaat Dropbox er binnenkort voor zorgen dat een host_id-waarde op slechts één computer kan worden gebruikt. Hoe het bedrijf dit gaat doen, blijft onvermeld. Ook is onbekend wanneer deze update uitkomt.

Daarnaast reageert Dropbox op de onlangs ontstane ophef over zijn nieuwe gebruiksvoorwaarden. Dropbox schreef in zijn nieuwe gebruiksvoorwaarden dat het bestanden van gebruikers decrypt en overhandigt aan de overheid wanneer dit is vereist. Daarbij gaat het overigens enkel om de ingebouwde versleuteling van Dropbox zelf; het bedrijf verwijdert geen eventuele encryptiemechanismen die gebruikers zelf hebben aangebracht.

Gebruikers reageerden verontwaardigd op de wijziging, maar Dropbox geeft aan dat het daartoe wettelijk verplicht is. Slechts een klein deel van de personeelsleden van Dropbox is in staat om bestanden te decrypten en in te zien, stelt het bedrijf. Gebruikers zijn echter ontstemd dat medewerkers van de dienst dat überhaupt kunnen; de dienst hield altijd vol dat medewerkers bestanden niet kunnen inzien en dat enkel metadata toegankelijk is. Dat blijkt niet waar.

Dropbox

De rood omlijnde tekst blijkt een creative interpretatie van de werkelijkheid

Door Joost Schellevis

Redacteur

Feedback • 22-04-2011 14:57 39

22-04-2011 • 14:57

39

Lees meer

Dropbox reset gedeelde links om 'beveiligingsprobleem'
Dropbox reset gedeelde links om 'beveiligingsprobleem' Nieuws van 6 mei 2014
Dropbox reageert op ophef blokkeren inbreukmakende video in persoonlijke folder
Dropbox reageert op ophef blokkeren inbreukmakende video in persoonlijke folder Nieuws van 31 maart 2014
'E-mailadressen Dropbox-accounts gelekt'
'E-mailadressen Dropbox-accounts gelekt' Nieuws van 1 maart 2013
Dropbox onderzoekt mogelijk lek na spam aan gebruikers
Dropbox onderzoekt mogelijk lek na spam aan gebruikers Nieuws van 18 juli 2012
Startup laat gebruikers torrents downloaden in Dropbox
Startup laat gebruikers torrents downloaden in Dropbox Nieuws van 24 juni 2012
Dropbox stopt met public folders voor nieuwe accounts
Dropbox stopt met public folders voor nieuwe accounts Nieuws van 17 juni 2012
Nieuwe Dropbox-versie kan foto's en video automatisch uploaden
Nieuwe Dropbox-versie kan foto's en video automatisch uploaden Nieuws van 24 februari 2012
Dropbox haalt 250 miljoen dollar op bij investeerders
Dropbox haalt 250 miljoen dollar op bij investeerders Nieuws van 18 oktober 2011
Bitcasa belooft onbeperkte cloudopslag voor 10 dollar per maand
Bitcasa belooft onbeperkte cloudopslag voor 10 dollar per maand Nieuws van 13 september 2011
Nieuw beveiligingsprobleem Dropbox roept vragen op
Nieuw beveiligingsprobleem Dropbox roept vragen op Nieuws van 21 juni 2011
'Dropbox misleidde gebruikers met claims over veiligheid'
'Dropbox misleidde gebruikers met claims over veiligheid' Nieuws van 16 mei 2011
Onderzoekssite Telegraaf verstuurt wachtwoord in url
Onderzoekssite Telegraaf verstuurt wachtwoord in url Nieuws van 26 april 2011
Software Dropbox bevat kwetsbaarheid
Software Dropbox bevat kwetsbaarheid Nieuws van 8 april 2011
AVG opent cloudopslagdienst
AVG opent cloudopslagdienst Nieuws van 7 april 2011
Senator blokkeert omstreden antipiraterijvoorstel VS
Senator blokkeert omstreden antipiraterijvoorstel VS Nieuws van 23 november 2010
'Aandeel p2p in Europese dataverkeer loopt terug'
'Aandeel p2p in Europese dataverkeer loopt terug' Nieuws van 9 november 2010
Screenshots tonen nieuwe functionaliteit webOS 2.0
Screenshots tonen nieuwe functionaliteit webOS 2.0 Nieuws van 8 september 2010
Meer producten en artikelen
Privacy Websites en community's Software Internet Beveiliging

Reacties (39)

-Moderatie-faq
39
38
31
4
0
4
Wijzig sortering
Crim 22 april 2011 15:14
Ik heb mijn Pro 50 abonnement bij Dropbox opgezegd na de verschillende nieuwsberichten en ben overgestapt op Wuala. Ik heb liever niet dat de Amerikaanse overheid of medewerkers toegang hebben tot mijn bestanden. Met de recente ontwikkelingen rondom Ron Gongrijp is het helemaal duidelijk geworden hoe makkelijk de overheid toegang heeft tot de data van Amerikaanse bedrijven.

Bij Wuala op de site staat het volgende:
" Wuala beschermt uw privacy: in sterk contrast met de meeste andere diensten voor online opslag worden al uw bestanden gecodeerd op uw computer, waardoor niemand - zelfs niet de medewerkers van Wuala en LaCie - toegang kan krijgen tot uw persoonlijke bestanden. Uw wachtwoord verlaat nooit uw computer."

En daarbij ook nog eens 13gb gratis opslag met de codes op deze site :D
http://www.retailmenot.com/view/wuala.com
MBV @Crim22 april 2011 15:33
Je kan beter zelf voor je encryptie zorgen. Ik heb een presentatie van de Universiteit Twente gezien over zo'n soort bedrijf als dropbox. Die 'garandeerden' ook 100% veiligheid. Nadat de onderzoekers een black-box onderzoek hadden gedaan, bleek dat het ondanks de PKI beveiliging kinderspel was om de gegevens te decrypten: gebruikersnaam en wachtwoord werden op een triviaal te hacken manier verstuurd.
idef1x @Crim22 april 2011 15:52
......" Wuala beschermt uw privacy: in sterk contrast met de meeste andere diensten voor online opslag worden al uw bestanden gecodeerd op uw computer, waardoor niemand - zelfs niet de medewerkers van Wuala en LaCie - toegang kan krijgen tot uw persoonlijke bestanden. Uw wachtwoord verlaat nooit uw computer."
Met de nadruk zeker op UW computer. M.a.w. de online opslag kan net zo goed in plain text zijn.

Oftewel idd gewoon zelf encrypted bestanden erop zetten als je er gebruik van wilt maken ;)

[Reactie gewijzigd door idef1x op 25 juli 2024 08:05]

rain2reign @idef1x22 april 2011 17:41
Zelf encrypten moet je natuurlijk zelf doen. En als je de encryptie van het desbetreffende bedrijf erboven op gooit is het bestand dubbel zo "encrypted" en ben je een BEETJE meer zeker van je zaak. Online opslag is altijd een beetje " riskie".

En je opslag heeft een grote kans ja om het in plain tekst te kunnen zijn.
BraveWorld @Crim22 april 2011 17:59
Hoe gaat dat eigenlijk met delen? (www.wuala.com/nl/learn/features/t/5)

Als je gaat delen, worden die gedeelde bestanden dan weer terug geconverteerd (op je eigen computer mag ik dan aannemen) en wel onversleuteld opgeslagen?
Crim @BraveWorld27 april 2011 17:12
http://www.wuala.com/blog...cryption-for-dummies.html
darkfader @Crim23 april 2011 19:37
helaas werken die codes maar 1 jaar.
Menesis 22 april 2011 15:01
Het lijkt wel alsof alle in Amerika gevestigde bedrijven moeten nu prive gegevens met de overheid delen als daarom gevraagd wordt.
Is het niet een idee om -in dit geval- een europese tegenhanger van dropbox te lanceren met meer privacy?
Zelfde geldt voor twitter en gmail etc etc...
IStealYourGun @Menesis22 april 2011 15:08
In Europa moet een bedrijf ook hun gegevens afstaan als justitie daarom vraagt. Het enige verschil tussen EU en de VS is dat het hier in kader van een onderzoek gebeurt en er dus een bevel is vereist van de bevoegde instanties (procureur/rechter). In de USA kan elke FBI agent gewoon de files opeisen zonder geldige reden.
dasiro @IStealYourGun22 april 2011 18:11
er is nog een groot verschil tussen gegevens afstaan, en geëncrypteerde bestanden (EIGENDOM) van klanten decrypten en doorsluizen
M3nn0M3nn0 @Menesis22 april 2011 17:35
Dat heet de Patriot Act. Het staat onder andere toe om mensen hun computerdata op te vragen zonder dat daar een reden voor nodig is.

Google voor verdere info ;)
IStealYourGun 22 april 2011 15:04
Beetje naïef om te stellen dat je data "veilig" is bij een cloud dienst.
Wil je zeker zijn, dan moet je zelf encrypteren, ongeacht of het nu cloud of lokaal is.
vgroenewold @IStealYourGun22 april 2011 15:40
Precies, vandaar dat ik een aantal belangrijke documenten op Dropbox in een truecrypt bestand heb staan. Hoewel de gemiddelde kans dat een Dropbox account van toevallig mij wordt gehacked, vrij klein is, is het toch een prettig gevoel.
kmf @vgroenewold22 april 2011 18:45
Ik heb ook een truecrypt container in dropbox voor de gevoelige documenten. En de dropboxdir zit zelf ook in een truecrypt partitie.
Maar het nadeel is natuurlijk wel dat de truecrpt container in z'n geheel gesynched wordt. Ipv die passwords.kdb wordt dan die 2GB truecypt container gesynched...
SCS2 @kmf22 april 2011 22:48
Ik dacht dat Dropbox alleen de gewijzigde delen van een bestand sync-t.
Dat stond op hun site en bij mijn testje leek dat ook te zijn.

Gebruik dropbox niet meer, mijn upload snelheid is veel te laag.

Maar is toch simpel te testen.
Solomon @SCS223 april 2011 07:58
Bij normale bestanden wel ja, maar bij een TrueCrupt container is dat een beetje lastig. Correct me if I'm wrong, maar een kleine toevoeging of verandering in zo'n container doet de hele container veranderen.
IStealYourGun @Solomon23 april 2011 10:53
The downside of strong encryption. ;)

Daarme kan je de opslag voor truecrypt het best minimaliseren, maar dat mag niet zo een groot probleem zijn. Ik plaats enkel de meest belangrijke files geëncrypteerd in de cloud. Al de rest is ongeëncrypteerde of heeft daar geen plaats.
SCS2 @Solomon27 april 2011 21:28
Nee dat is niet zo! Bij een container van bijv >10Gb zou hij dan steeds alles weg moeten schrijven omdat alles wijzigt. Die harddiskactiviteit zou je heus wel merken.
mszwolle @IStealYourGun22 april 2011 15:12
100% mee eens. Zelf je data extra encrypten voordat je een bedrijf of een cloud-dienst dit laat doen.
Benne @mszwolle22 april 2011 15:21
Maar dan kan je wel verdacht worden van kinderporno :)

justitie-encryptie-moet-worden-verboden.html

[Reactie gewijzigd door Benne op 25 juli 2024 08:05]

mszwolle @Benne22 april 2011 15:48
Ben ik met je eens, maarja, net zoals vgroenewold zegt, dan kunnen ze de key wel krijgen. Je weerhoud de mederwerkers van Dropbox er wel van om toegang te krijgen tot jouw files, totdat de overheid een bevel heeft om toegang te krijgen.

Maakt niet uit wat voor mening je hierover hebt, het is kortom gezegd: "Je hebt nooit complete privacy." Alles wat jij doet kan worden ingezien door de overheid, als ze hier het bevel toe hebben.
kimborntobewild @mszwolle22 april 2011 16:22
"... totdat de overheid een bevel heeft om toegang te krijgen."
Dat houdt tegenwoordig gewoon in dat justitie er standaard toegang toe heeft. Dit soort aanvragen gaat gewoon in bulk. Zo van: "We willen graag de accounts 300 tot 1200 inkijken. Gaat het OM akkoord?" en het OM zegt gewoon standaard ja.
mszwolle @kimborntobewild22 april 2011 16:35
Klopt precies. Maar tot die tijd weerhoud je de medewerkers van Dropbox wel om jouw bestanden in te zien.
vgroenewold @Benne22 april 2011 15:42
Ach, ik denk dat ik heel duidelijk kan maken dat het om privacy gevoelige gegevens gaat en als ze dat niet geloven krijgen ze de key... dan hebben ze nog geen zekerheid, maar succes dan met het bewijzen dat er meer is.
egnappahz 22 april 2011 16:47
In ieder geval klinkt dit nieuws wel akelig voor mij;

Ik heb een klein programmatje geschreven dat de dropbox-cloud gebruikt om excelfiles te klasseren van een bedrijf over 3G.

Nu het blijkt dat deze vertrouwelijke gegevens niet zo vertrouwelijk behandeld worden is dit nieuws/feit wel een vette streep door mijn rekening.
Tales @egnappahz22 april 2011 16:50
tenzij je het versleuteld wegschrijft naar dropbox wat sowieso nooit een slecht idee is als je 'gratis' third party software gaat gebruiken voor bedrijsinformatie
cedal 22 april 2011 23:54
Ik ben helemaal niet verontwaardigt. Vooral niet als ik afweeg wat dropbox me voor gemak biedt en wat ze kunnen. Daarnaast heb ik ook niets te verbergen.

Vind het alleen wel jammer dat er een soort van omheen wordt gedraait wat Systeembeheerders (of troubleshooters) van dropbox wel en niet kunen. Maar nog maak ik me er geen zorgen om.
JCG @cedal23 april 2011 12:10
Daarnaast heb ik ook niets te verbergen.
Cool geef je pin code en je bankgegevens :+

Ik heb genoeg te verbergen, niets illegaal maar het internet hoeft niet alles over me te weten. Daarom gebruik ik dropbox alleen voor huiswerk
cedal @JCG12 mei 2011 13:57
dat et ik toch niet op dropbox xD
CAPSLOCK2000
22 april 2011 15:28
Uit deze zaak valt weer een wijze les te leren, namelijk dat je opslag en beveiliging van elkaar moet scheiden. Dat is niet alleen veiliger maar ook flexibeler.
Je kan je data overal opslaan waar je wil, de hoster kan het toch niet lezen. Als je ooit wilt wisselen kan dat zonder problemen. Je kan je data gewoon opslaan waar het op dat moment goedkoop is.
NoFearCreations 22 april 2011 16:08
Kan me er niet druk on maken, gebruik het in combinatie met android om foto's en muziek naar me mobiel te kopieren, Als iemand dat wil gebruiken zeg ik veel plezier!
bastro 22 april 2011 17:29
Alternatief? teamdrive.com.
Duits bedrijf (alhoewel de website in de USA staat) Geen idee waar de dataopslag is maar kan ook op eigen server!
Ze claimen Encryptie op eigen harde schijf voor verzenden (geen idee of de sleutel van hun af komt of dat deze op de machine zelf wordt geproduceerd).
CyBeR 22 april 2011 20:57
de dienst hield altijd vol dat medewerkers bestanden niet kunnen inzien en dat enkel metadata toegankelijk is. Dat blijkt niet waar.
Duh. Systeembeheerders kunnen altijd overal bij dus dat is al per definitie onwaar.
Luno 22 april 2011 21:01
ikke nie begrijp.

Als je een geheim hebt moet je dat niet mededelen aan anderen. Zodra je dat doet weet je niet wat er verder mee gedaan wordt. PUNT,

Ofwel zodra je iets op dropbox, gmail of whatever neerzet ga er vanuit dat iedereen het kan lezen. Is dat geen probleem, mooi, leuke back-up.
Is dat wel een probleem dan is opslag in de nevels van de wolken geen goed idee. PUNT,
90710 @Luno23 april 2011 08:10
Inderdaad "gevoelige" data moet je niet op internet zetten. Of het nou een gewone website of een cloud dienst ala DropBox / Google Docs / MobileMe / etc. is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq