Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 39 reacties

Dropbox gaat een beveiligingsprobleem, waarbij het stelen van één bestand genoeg is om toegang te krijgen tot alle bestanden in een Dropbox-account, binnenkort dichten. Nu al is het stelen van het host.db-bestand moeilijker gemaakt.

De opslagdienst Dropbox, die gebruikers bestanden laat synchroniseren met de Dropbox-servers, gaat een update uitbrengen om een onlangs ontdekt beveiligingsprobleem op te lossen. Beveiligingsonderzoeker Derek Newton ontdekte begin deze maand dat de opslagdienst een sleutel met de naam 'host_id' gebruikt om een computer aan een account te koppelen. Wie de host_id-waarde kopieert, kan hiermee ongemerkt inloggen op iemands Dropbox-account. Het host_id is opgeslagen in een configuratiebestand met SQLite als bestandsindeling. Opvallend is dat het host_id niet is gekoppeld aan gebruikersnaam of wachtwoord.

Dropbox stelde aanvankelijk dat het niet om een beveiligingsprobleem gaat, omdat nog steeds toegang tot iemands computer vereist is om toegang te krijgen tot het desbetreffende configuratiebestand. Toch heeft het bedrijf een software-update uitgebracht, waardoor het SQLite-bestand beter beschermd is tegen kopiëren. Ook gaat Dropbox er binnenkort voor zorgen dat een host_id-waarde op slechts één computer kan worden gebruikt. Hoe het bedrijf dit gaat doen, blijft onvermeld. Ook is onbekend wanneer deze update uitkomt.

Daarnaast reageert Dropbox op de onlangs ontstane ophef over zijn nieuwe gebruiksvoorwaarden. Dropbox schreef in zijn nieuwe gebruiksvoorwaarden dat het bestanden van gebruikers decrypt en overhandigt aan de overheid wanneer dit is vereist. Daarbij gaat het overigens enkel om de ingebouwde versleuteling van Dropbox zelf; het bedrijf verwijdert geen eventuele encryptiemechanismen die gebruikers zelf hebben aangebracht.

Gebruikers reageerden verontwaardigd op de wijziging, maar Dropbox geeft aan dat het daartoe wettelijk verplicht is. Slechts een klein deel van de personeelsleden van Dropbox is in staat om bestanden te decrypten en in te zien, stelt het bedrijf. Gebruikers zijn echter ontstemd dat medewerkers van de dienst dat überhaupt kunnen; de dienst hield altijd vol dat medewerkers bestanden niet kunnen inzien en dat enkel metadata toegankelijk is. Dat blijkt niet waar.

Dropbox

De rood omlijnde tekst blijkt een creative interpretatie van de werkelijkheid

Moderatie-faq Wijzig weergave

Reacties (39)

Ik heb mijn Pro 50 abonnement bij Dropbox opgezegd na de verschillende nieuwsberichten en ben overgestapt op Wuala. Ik heb liever niet dat de Amerikaanse overheid of medewerkers toegang hebben tot mijn bestanden. Met de recente ontwikkelingen rondom Ron Gongrijp is het helemaal duidelijk geworden hoe makkelijk de overheid toegang heeft tot de data van Amerikaanse bedrijven.

Bij Wuala op de site staat het volgende:
" Wuala beschermt uw privacy: in sterk contrast met de meeste andere diensten voor online opslag worden al uw bestanden gecodeerd op uw computer, waardoor niemand - zelfs niet de medewerkers van Wuala en LaCie - toegang kan krijgen tot uw persoonlijke bestanden. Uw wachtwoord verlaat nooit uw computer."

En daarbij ook nog eens 13gb gratis opslag met de codes op deze site :D
http://www.retailmenot.com/view/wuala.com
Je kan beter zelf voor je encryptie zorgen. Ik heb een presentatie van de Universiteit Twente gezien over zo'n soort bedrijf als dropbox. Die 'garandeerden' ook 100% veiligheid. Nadat de onderzoekers een black-box onderzoek hadden gedaan, bleek dat het ondanks de PKI beveiliging kinderspel was om de gegevens te decrypten: gebruikersnaam en wachtwoord werden op een triviaal te hacken manier verstuurd.
......" Wuala beschermt uw privacy: in sterk contrast met de meeste andere diensten voor online opslag worden al uw bestanden gecodeerd op uw computer, waardoor niemand - zelfs niet de medewerkers van Wuala en LaCie - toegang kan krijgen tot uw persoonlijke bestanden. Uw wachtwoord verlaat nooit uw computer."
Met de nadruk zeker op UW computer. M.a.w. de online opslag kan net zo goed in plain text zijn.

Oftewel idd gewoon zelf encrypted bestanden erop zetten als je er gebruik van wilt maken ;)

[Reactie gewijzigd door idef1x op 22 april 2011 16:13]

Zelf encrypten moet je natuurlijk zelf doen. En als je de encryptie van het desbetreffende bedrijf erboven op gooit is het bestand dubbel zo "encrypted" en ben je een BEETJE meer zeker van je zaak. Online opslag is altijd een beetje " riskie".

En je opslag heeft een grote kans ja om het in plain tekst te kunnen zijn.
Hoe gaat dat eigenlijk met delen? (www.wuala.com/nl/learn/features/t/5)

Als je gaat delen, worden die gedeelde bestanden dan weer terug geconverteerd (op je eigen computer mag ik dan aannemen) en wel onversleuteld opgeslagen?
helaas werken die codes maar 1 jaar.
Het lijkt wel alsof alle in Amerika gevestigde bedrijven moeten nu prive gegevens met de overheid delen als daarom gevraagd wordt.
Is het niet een idee om -in dit geval- een europese tegenhanger van dropbox te lanceren met meer privacy?
Zelfde geldt voor twitter en gmail etc etc...
In Europa moet een bedrijf ook hun gegevens afstaan als justitie daarom vraagt. Het enige verschil tussen EU en de VS is dat het hier in kader van een onderzoek gebeurt en er dus een bevel is vereist van de bevoegde instanties (procureur/rechter). In de USA kan elke FBI agent gewoon de files opeisen zonder geldige reden.
er is nog een groot verschil tussen gegevens afstaan, en geëncrypteerde bestanden (EIGENDOM) van klanten decrypten en doorsluizen
Dat heet de Patriot Act. Het staat onder andere toe om mensen hun computerdata op te vragen zonder dat daar een reden voor nodig is.

Google voor verdere info ;)
Beetje naïef om te stellen dat je data "veilig" is bij een cloud dienst.
Wil je zeker zijn, dan moet je zelf encrypteren, ongeacht of het nu cloud of lokaal is.
Precies, vandaar dat ik een aantal belangrijke documenten op Dropbox in een truecrypt bestand heb staan. Hoewel de gemiddelde kans dat een Dropbox account van toevallig mij wordt gehacked, vrij klein is, is het toch een prettig gevoel.
Ik heb ook een truecrypt container in dropbox voor de gevoelige documenten. En de dropboxdir zit zelf ook in een truecrypt partitie.
Maar het nadeel is natuurlijk wel dat de truecrpt container in z'n geheel gesynched wordt. Ipv die passwords.kdb wordt dan die 2GB truecypt container gesynched...
Ik dacht dat Dropbox alleen de gewijzigde delen van een bestand sync-t.
Dat stond op hun site en bij mijn testje leek dat ook te zijn.

Gebruik dropbox niet meer, mijn upload snelheid is veel te laag.

Maar is toch simpel te testen.
Bij normale bestanden wel ja, maar bij een TrueCrupt container is dat een beetje lastig. Correct me if I'm wrong, maar een kleine toevoeging of verandering in zo'n container doet de hele container veranderen.
The downside of strong encryption. ;)

Daarme kan je de opslag voor truecrypt het best minimaliseren, maar dat mag niet zo een groot probleem zijn. Ik plaats enkel de meest belangrijke files geëncrypteerd in de cloud. Al de rest is ongeëncrypteerde of heeft daar geen plaats.
Nee dat is niet zo! Bij een container van bijv >10Gb zou hij dan steeds alles weg moeten schrijven omdat alles wijzigt. Die harddiskactiviteit zou je heus wel merken.
100% mee eens. Zelf je data extra encrypten voordat je een bedrijf of een cloud-dienst dit laat doen.
Maar dan kan je wel verdacht worden van kinderporno :)

justitie-encryptie-moet-worden-verboden.html

[Reactie gewijzigd door Benne op 22 april 2011 15:23]

Ben ik met je eens, maarja, net zoals vgroenewold zegt, dan kunnen ze de key wel krijgen. Je weerhoud de mederwerkers van Dropbox er wel van om toegang te krijgen tot jouw files, totdat de overheid een bevel heeft om toegang te krijgen.

Maakt niet uit wat voor mening je hierover hebt, het is kortom gezegd: "Je hebt nooit complete privacy." Alles wat jij doet kan worden ingezien door de overheid, als ze hier het bevel toe hebben.
"... totdat de overheid een bevel heeft om toegang te krijgen."
Dat houdt tegenwoordig gewoon in dat justitie er standaard toegang toe heeft. Dit soort aanvragen gaat gewoon in bulk. Zo van: "We willen graag de accounts 300 tot 1200 inkijken. Gaat het OM akkoord?" en het OM zegt gewoon standaard ja.
Klopt precies. Maar tot die tijd weerhoud je de medewerkers van Dropbox wel om jouw bestanden in te zien.
Ach, ik denk dat ik heel duidelijk kan maken dat het om privacy gevoelige gegevens gaat en als ze dat niet geloven krijgen ze de key... dan hebben ze nog geen zekerheid, maar succes dan met het bewijzen dat er meer is.
In ieder geval klinkt dit nieuws wel akelig voor mij;

Ik heb een klein programmatje geschreven dat de dropbox-cloud gebruikt om excelfiles te klasseren van een bedrijf over 3G.

Nu het blijkt dat deze vertrouwelijke gegevens niet zo vertrouwelijk behandeld worden is dit nieuws/feit wel een vette streep door mijn rekening.
tenzij je het versleuteld wegschrijft naar dropbox wat sowieso nooit een slecht idee is als je 'gratis' third party software gaat gebruiken voor bedrijsinformatie
Ik ben helemaal niet verontwaardigt. Vooral niet als ik afweeg wat dropbox me voor gemak biedt en wat ze kunnen. Daarnaast heb ik ook niets te verbergen.

Vind het alleen wel jammer dat er een soort van omheen wordt gedraait wat Systeembeheerders (of troubleshooters) van dropbox wel en niet kunen. Maar nog maak ik me er geen zorgen om.
Daarnaast heb ik ook niets te verbergen.
Cool geef je pin code en je bankgegevens :+

Ik heb genoeg te verbergen, niets illegaal maar het internet hoeft niet alles over me te weten. Daarom gebruik ik dropbox alleen voor huiswerk
dat et ik toch niet op dropbox xD
Uit deze zaak valt weer een wijze les te leren, namelijk dat je opslag en beveiliging van elkaar moet scheiden. Dat is niet alleen veiliger maar ook flexibeler.
Je kan je data overal opslaan waar je wil, de hoster kan het toch niet lezen. Als je ooit wilt wisselen kan dat zonder problemen. Je kan je data gewoon opslaan waar het op dat moment goedkoop is.
Kan me er niet druk on maken, gebruik het in combinatie met android om foto's en muziek naar me mobiel te kopieren, Als iemand dat wil gebruiken zeg ik veel plezier!
Alternatief? teamdrive.com.
Duits bedrijf (alhoewel de website in de USA staat) Geen idee waar de dataopslag is maar kan ook op eigen server!
Ze claimen Encryptie op eigen harde schijf voor verzenden (geen idee of de sleutel van hun af komt of dat deze op de machine zelf wordt geproduceerd).
de dienst hield altijd vol dat medewerkers bestanden niet kunnen inzien en dat enkel metadata toegankelijk is. Dat blijkt niet waar.
Duh. Systeembeheerders kunnen altijd overal bij dus dat is al per definitie onwaar.
ikke nie begrijp.

Als je een geheim hebt moet je dat niet mededelen aan anderen. Zodra je dat doet weet je niet wat er verder mee gedaan wordt. PUNT,

Ofwel zodra je iets op dropbox, gmail of whatever neerzet ga er vanuit dat iedereen het kan lezen. Is dat geen probleem, mooi, leuke back-up.
Is dat wel een probleem dan is opslag in de nevels van de wolken geen goed idee. PUNT,
Inderdaad "gevoelige" data moet je niet op internet zetten. Of het nou een gewone website of een cloud dienst ala DropBox / Google Docs / MobileMe / etc. is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True