Dropbox treft maatregelen na diefstal mailadressen - update

Dropbox heeft erkend dat er recentelijk e-mailadressen van gebruikers zijn buitgemaakt die daarna door spammers gebruikt zijn. De clouddienst werkt nu aan two-factor-authentication om inloggen veiliger te maken.

Dropbox logo (60 pix) Halverwege juli kwam naar buiten dat verschillende Dropbox-gebruikers spam ontvingen op een e-mail-adres dat alleen voor de clouddienst in gebruik was. Kort daarna maakte het bedrijf bekend dat het geen bewijs van een hack had kunnen vinden, maar dat er nog verder onderzoek naar de kwestie gedaan zou worden. Naar aanleiding van dat onderzoek blijkt nu dat de dienst niet gehackt is, maar er wel een lijst met e-mailadressen is buitgemaakt dat op het account van een Dropbox-medewerker stond.

In een blogpost erkent het bedrijf dat er recentelijk op verschillende Dropbox-accounts is ingelogd met inlognamen en wachtwoorden die bij andere websites gestolen waren. Eén van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin e-mailadressen van een onbekend aantal gebruikers. Het bedrijf denkt dat deze lijst gebruikt is om de spammails te versturen. Dropbox biedt op het blog zijn excuses aan en zegt dat er maatregelen zijn genomen die dergelijke situaties in de toekomst moeten voorkomen.

Daarnaast gaat de dienst de komende periode zijn beveiliging aanscherpen en inloggen moet veiliger worden door de implementatie van two-factor-authentication. Hierbij moet een gebruiker niet enkel een password invoeren, maar ook een andere code, die bijvoorbeeld via sms verzonden kan worden. Deze mogelijkheid zal als optie aangeboden worden. Daarnaast wordt gebruikers geadviseerd om per website een uniek wachtwoord te gebruiken, zodat situaties als deze voorkomen kunnen worden.

Ook komt er een nieuwe pagina waar gebruikers de actieve login-sessies van hun account kunnen zien, waardoor eventuele logins met gestolen wachtwoorden sneller opgemerkt worden. Dropbox bouwt in aanvulling hierop ook nieuwe systemen die verdachte activiteit moeten herkennen.

Update, 09:38: In het oorspronkelijke bericht stond dat Dropbox gehackt zou zijn, dit klopt niet. De gegevens waarmee hackers op accounts van Dropbox-gebruikers konden inloggen waren bij andere websites gestolen.

IT-banen

Reacties (115)

EnigmA-X

1 augustus 2012 09:35

In een blogpost erkent het bedrijf dat hackers recentelijk hebben ingebroken en daarbij gebruikersnamen en wachtwoorden hebben verzameld

In de bewuste blogpost van dropbox staat iets anders, namelijk:

Our investigation found that usernames and passwords recently stolen from other websites were used to sign in to a small number of Dropbox accounts. We’ve contacted these users and have helped them protect their accounts.

Het artikel op tweakers doet vermoeden dat er ingebroken is bij dropbox zelf, dat blijkt dus niet helemaal juist.

Verder kan je als dropbox zijnde vrij weinig doen aan gebruikers die overal dezelfde username/password combinatie gebruiken. Dat het je eigen werknemers betreft is natuurlijk niet handig, maarja, ook dropbox zal wel marketingmedewerkers in dienst hebben die wellicht niet zo heel technisch onderlegd zijn. Jammer dat ze daar als bedrijf onvoldoende maatregelen voor nemen. Net zoiets als de lijst met e-mail adressen, ook erg onhandig om dat op die plek op te slaan, het is een behoorlijke 'multiplier' qua schade als het misgaat, maar dat hebben ze daar nu vast ook door...

Orion84 Admin General Chat / Wonen & Mobiliteit @EnigmA-X • 1 augustus 2012 09:51

Scherp, had er zelf overheengelezen toen ik doorklikte naar de blogpost bij DropBox. (was vooral benieuwd naar wat er over two-factor stond).

Ik heb je opmerking even doorgegeven aan de redactie, die het inmiddels gefixt heeft

Dropbox geeft toe gehackt te zijn...

Mocht je nog eens zo'n fout spotten, meldt het dan meteen ook even daar in Geachte Redactie.

[Reactie gewijzigd door Orion84 op 23 juli 2024 00:13]

Phoenix_the_II 1 augustus 2012 09:20

De zoveelste hack op X bedrijf. Mensen die hun wachtwoord(en) eigenlijk nooit veranderen en overal dezelfde gebruiken lopen de grootste risico.

Je kan hier controleren of je uberhaupt ergens op een lijstje gevonden bent:

http://pwnedlist.com/

Je kan als je deze site niet vertrouwd ook een SHA-512 hash meegeven. Die kan je hier maken.

Zowiezo raad ik mensen aan om voor elke website een ander email adres + wachtwoord te gebruiken.

Veel email addressen kan je bijvoorbeeld door een catchall in te stellen op je domeinnaam. Hierdoor komt dan alles wat voor de @'tje staat in 1 mailbox terecht. Een handige manier is dan dus ook bijvoorbeeld voor dropbox je account email: "dropbox@domein.nl" aan te maken.

Zo weet je meteen als er naar dat adres spam verstuurd wordt of die partij gehacked is. Of je prive gegevens heeft doorverkocht/doorgegeven aan derde partiijen. Ok, dat is niet 100% zeker maar het geeft een indicatie dat er iets fout is gegaan daar.

En wachtwoorden opslaan kan je het beste doen met een keystore/keychain tool. Er zijn er genoeg. Zo hoef je niet zelf voor elke website dat stomme wachtwoord te onthouden.

[Reactie gewijzigd door Phoenix_the_II op 23 juli 2024 00:13]

Martao @Phoenix_the_II • 1 augustus 2012 09:32

Ja, want iedereen heeft een eigen domeinnaam.

Overigens kan het ook op GMail: email+extensie@gmail.com
De plus en alles er achter wordt genegeerd door Google, al accepteert niet iedere site het.

Overigens, voor elke site een ander user/pass is compleet onhaalbaar natuurlijk.
Leuk bedacht, maar je raakt alleen maar door de war. Heb het geprobeerd, maar wordt alleen maar vervelend. Misschien dat een enkeling het wel kan, maar de massa gaat nooit gebeuren.

[Reactie gewijzigd door Martao op 23 juli 2024 00:13]

Phoenix_the_II @Martao • 1 augustus 2012 09:47

Oh, en een domeinnaam met email service is tegenwoordig echt niet zo duur.

Als je je achternaam als domeinnaam registreert kan de hele familie er ook nog eens gebruik van maken! (Voornaam@achternaam.nl).

Zo ben je niet afhankelijk van je ISP die email meelevert. Of google/microsoft die meekijkt in je email voor betere ads op je af te vuren.

Misschien dat een enkeling het wel kan, maar de massa gaat nooit gebeuren.

Eigenlijk zou er helemaal geen password veldje meer moeten bestaan. Maar zou iedereen met het OS dat je hebt een keystore moeten bijkrijgen. Zo wordt iedereen verplicht een dergelijk tool te gebruiken ipv. wachtwoorden onthouden.

Natuurlijk komen er dan wel weer hacks gericht op de keystore en zijn encrypted bestanden. Maar dat is dan op de individu in plaats van dat er meteen miljoenen gegevens op straat liggen.

Marc H @Phoenix_the_II • 1 augustus 2012 11:46

Eigenlijk zou er helemaal geen password veldje meer moeten bestaan. Maar zou iedereen met het OS dat je hebt een keystore moeten bijkrijgen. Zo wordt iedereen verplicht een dergelijk tool te gebruiken ipv. wachtwoorden onthouden.

Lekker handig, "hee mijn OS boot niet meer, even opnieuw installeren" = keys weg... Of even ergens anders inloggen op een website. gaat ook zo handig als je keys alleen thuis staan. Want die info op een cloud zetten werkt dat ook niet zo veilig..

Voor IT'ers nog niet zo'n probleem, maar voor truus en kees voorzie ik toch echt grote problemen....

Martao @Marc H • 1 augustus 2012 13:25

Backup/Replicatie via SkyDrive?
Nogmaals, dat geeft wel veiligheidsoverwegingen, maar het kan allemaal prima.

Martao @Phoenix_the_II • 1 augustus 2012 11:22

Oh, en een domeinnaam met email service is tegenwoordig echt niet zo duur.

Niet duur, maar waarom zou ik het doen?
Het blijft onnodig geld uitgeven. Ik ben uitermate tevreden over Gmail (die ads zie ik toch niet)

Eigenlijk zou er helemaal geen password veldje meer moeten bestaan. Maar zou iedereen met het OS dat je hebt een keystore moeten bijkrijgen. Zo wordt iedereen verplicht een dergelijk tool te gebruiken ipv. wachtwoorden onthouden.

Zou een enorm veiligheidsrisico kunnen zijn, maar zou wel mooi zijn als Microsoft zoiets zou ontwikkelen voor Windows inderdaad.

SniperEye @Phoenix_the_II • 1 augustus 2012 10:07

Voor iedere site een ander wachtwoord, dat is goed mogelijk, gewoon een eigen algoritme ontwikkelen.

Martao @SniperEye • 1 augustus 2012 11:24

Nee. Gewoon nee. In ieder geval niet voor iedereen.

Heb het zelf geprobeerd, maar het is ófwel niet te onthouden, ófwel dusdanig dat een hacker het kan opbouwen uit een gecompromitteerd wachtwoord.

EnigmA-X

@Martao • 1 augustus 2012 11:45

Eh... jij denkt dat als een hacker 10.000 wachtwoorden buitmaakt op een dienst als hakkietakkie (plaintext, omdat de beveiliging niet deugt), dat hij alle 10k wachtwoorden gaat analyseren op algoritme, zodat hij met het gecrackte algoritme misschien met 1 account kan inloggen op dropbox/gmail?

Ik denk dat hij gewoon gaat proberen in te loggen. Werkt het niet met hetzelfde wachtwoord, dan --> /dev/null . Publicatie van de gegevens is wél een gevaar, echter heb je het dan over iemand die jou kent en heel doelmatig iets van jou wil. Je bent dan wel echt een target, lees: een van de tienduizenden, dus ook die kans lijkt me klein (tenzij je naam iets in de richting van Bill Gates is).

Tot slot, een goed algoritme is helemaal niet zo moeilijk te verzinnen. Maar als je er écht moeite mee hebt, kies dan een applicatie zoals keepass, lastpass, 1password en gebruik een browser plugin. Dan kan je zonder algoritme voor iedere site een supercomplex wachtwoord genereren, die je zelf nooit hoeft in te toetsen.

Martao @EnigmA-X • 1 augustus 2012 13:30

Tja, ik heb het geprobeerd, maar voor mij was het lastig.
Als tweaker / WO-opgeleid persoon. Dus hoe gaat het dan met de rest van het land, 3 keer raden.

Ik gebruik wel Keepass, maar een grote verscheidenheid aan wachtwoorden blijft lastig Telkens opzoeken kost gewoon teveel tijd. Een browser plug-in, daar moet ik nog aan, dat lijkt me wel handig. Maar dan nog zit je met toegang vanaf andere systemen. Dan kan je natuurlijk zoiets via een online service doen, maar hoe veilig is dat dan weer met al die hacks!?

Als je goede tips hebt, stuur me dan ff een PM

[Reactie gewijzigd door Martao op 23 juli 2024 00:13]

Crazy D @Phoenix_the_II • 1 augustus 2012 10:23

Ja en dan bedenkt een spammer dat het leuk is om het hele voornamenboek@jouwdomein te versturen. Ik heb sindsdien mijn catch all weer uitgezet.

Sorcix 1 augustus 2012 09:38

Tweakers, hebben jullie dat blogbericht eigenlijk gelezen?

Dropbox heeft helemaal niet toegegeven gehackt te zijn.

Volgens het Dropbox blog zijn usernames en wachtwoorden van andere sites gebruikt om in te loggen op Dropbox accounts. Dit is mogelijk omdat veel mensen dezelfde usernames en passwords gebruiken.

Op deze manier is ingelogd bij een werknemer van Dropbox die deze lijst met e-mail adressen had geupload op zijn Dropbox account.

Waar hebben jullie gelezen dat Dropbox gehackt is? Erger nog: waar lezen jullie dat Dropbox toegeeft gehackt te zijn? Er staat helemaal niets daarover in hun blog.

offtopic:
(Ik erger mij de laatste tijd wel meer aan compleet onjuiste berichten op tweakers, overgens..)

[Edit:] EnigmA-X was net iets eerder..

[Reactie gewijzigd door Sorcix op 23 juli 2024 00:13]

Martao @Sorcix • 1 augustus 2012 09:56

Twitter, of Tweakers?

MrBreaker @Sorcix • 1 augustus 2012 10:11

Dat hangt van je definitie van hacken af. Je kunt ook Social engineering zien als hacken en volgens die visie, is er d.m.v. 'een' hack toegang verkregen tot dropbox. Zoals het hier in de context staat slaat idd de plank mis!

Victorio @Sorcix • 1 augustus 2012 09:56

Heel goed. $_/-\o_$

Glodenox

1 augustus 2012 09:13

Eén van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin emailadressen van een onbekend aantal gebruikers.

En waarom in godsnaam zou iemand dat doen?

Wel mooi dat ze het willen toegeven dat ze zo redelijk in de fout zijn gegaan, maar ik mag hopen dat die persoon ten minste een fikse uitbrander heeft gekregen of misschien zelfs aan de deur is gezet. Er is geen enkele reden denkbaar om productiegegevens zo maar ergens te kopiëren.

ronaldvr @Glodenox • 1 augustus 2012 09:38

En waarom in godsnaam zou iemand dat doen?

Nou als je bezig bent met het ontwikkelen van software is dat soms onvermijdelijk . Echter dergelijke machines met gevoelige data horen streng bewaakt en in quarantaine geplaatst te worden. En dat gebeurt dus lang niet altijd.

Glodenox

@ronaldvr • 1 augustus 2012 10:04

Sorry hoor, ik ben dagelijks met enorm gevoelige gegevens bezig en geen haar op mijn hoofd denkt er aan om privacy-gevoelige gegevens uit de databanken te kopiëren en op mijn werkstation te zetten.

Akkoord, als je een nieuwe filter voor e-mails aan het ontwikkelen bent kan je misschien wel eens een hoop adressen erdoor willen jagen om te kunnen testen, maar dan nog moeten die altijd lokaal blijven staan. En dan zou ik echt niet meer dan 1000 adressen kopiëren, want anders kan je beter een klein programma te schrijven dat elk adres uit de databank gaat uitlezen en telkens gaat testen. Zo ben je helemaal veilig bezig.

Het lijkt me altijd vermijdelijk, maar ik kan wel begrijpen dat het gebeurd. Maar dan nog zet je zo'n bestanden normaal gezien niet in de cloud...

[Reactie gewijzigd door Glodenox op 23 juli 2024 00:13]

arjankoole

Beveiliging
Hackers

@Glodenox • 1 augustus 2012 10:20

Sorry hoor, ik ben dagelijks met enorm gevoelige gegevens bezig en geen haar op mijn hoofd denkt er aan om privacy-gevoelige gegevens uit de databanken te kopiëren en op mijn werkstation te zetten.

Goed zo, uitstekend. Maar bedenk goed dat tegenover 1 van jou, makkelijk 1000 developers staan die er domweg niet bij stil staan, of niet bij stil mogen staan omdat dat allemaal maar tijd kost.

ronaldvr @Glodenox • 1 augustus 2012 12:11

Tja daarom zei ik ook "quarantaine" maar als je het nieuws van enorme datalekken een beetje hebt gevolgd, dan weet je ook dat het lang niet altijd hacks zijn maar veel vaker een of andere onbenul die met een complete kopie van zo'n database aan de wandel gaat. Dat jij je daar -gelukkig!- van bewust bent geeft natuurlijk geen enkele garantie voor je collega's (en dat kan ook -en vaak juist- je manager zijn bijvoorbeeld

)

Dus een betere waarborg is het identificeren van alle apparaten waar dergelijke informatie op kán staan, en voorkomen dat die het pand verlaten (of aan het internet komen te hangen). Overigens is dat natuurlijk nog steeds geen garante, want als iemand kwaad wil is dergelijk data zo op je smartphone gezet...

[Reactie gewijzigd door ronaldvr op 23 juli 2024 00:13]

Martao @Glodenox • 1 augustus 2012 09:29

Ja, wat een drama. Hij heeft een lijst met emailadressen.
<sarcasme> Hup, naar de rechter! </sarcasme>

Waarom wordt ik nou downgemod? Het is toch duidelijk dat "een lijst met emailadressen" niet direct een probleem is. Kan heel normaal zijn, al hoeft dat niet.

[Reactie gewijzigd door Martao op 23 juli 2024 00:13]

Cergorach

Websites en community's

@Glodenox • 1 augustus 2012 10:14

Wie zegt dat het 'zomaar' is gebeurt? Dropbox heeft ook Dropbox for Business (Teams), zou me niets verbazen als ze dat zelf ook gebruiken. We hebben het hier over simpele e-mail adressen en niet over wachtwoorden en/of CC gegevens, dat is imho niet super gevoelige informatie. Een system admin heeft vaak ook remote toegang tot de meeste ifnot alle systemen, als iets dergelijks wordt gehacked (daar noem ik ook social engineering onder), ben je veel verder van huis.

Is het slordig dat dezelfde ww worden gebruikt voor een andere gehackde dienst? Ja, maar soms zit je in de IT en word je werkelijk overspoelt met userids en ww, het is niet houdbaar als 50+ logins moet onthouden die elke paar weken moeten worden reset. Opschrijven is helemaal een big no-no. Wat ik wel doe is een andere set ww gebruiken voor werk dan voor privé. Two factor autentication is leuk, maar je mag dan in principe weer niet op de token zetten waarvoor het is, daar wordt je niet vrolijk van als je met een keyring vol rond loopt met die dingen.

JohnVanZetten 1 augustus 2012 09:12

Is two-factor-authentication geen hele vreemde zet in een tijd waarin single sign-on steeds meer en meer een eis wordt in plaats van een wens? Ik, en waarschijnlijk velen met mij, ga hier geen gebruik van maken, aangezien in Dropbox/Skydrive alleen benader vanaf trusted devices.De laatste alinea klinkt veelbelovend, ik ben erg benieuwd hoe ze het laatste puntje invullen.

Orion84 Admin General Chat / Wonen & Mobiliteit @JohnVanZetten • 1 augustus 2012 09:18

Je doet het nu voorkomen of Single-Sign-On en two-factor-authentication twee zaken zijn die elkaar uitsluiten, terwijl dat helemaal niet zo is.

Single-Sign-On is een term die wel vaker verkeerd begrepen wordt, maar doelt op mechanismes waarbij je één keer per sessie jezelf authenticeert en vervolgens toegang krijgt tot allerlei systemen, waarbij de authenticatie verder op de achtergrond plaatsvindt middels federatieve technieken.

Die eerste keer authenticeren voor Single-Sign-On kan prima met behulp van twee factoren zijn. Zonder dat je daarmee afbreuk doet aan het Single-Sign-On principe.

Natuurlijk is two-factor authenticatie wel bewerkelijker voor de gebruiker dan single factor, maar met Single-Sign-On heeft het weinig te maken.

GateKeaper @JohnVanZetten • 1 augustus 2012 09:16

Als het systeem gaan gehackt wordt zie je echt geen actieve login op die pagina. Tja, het is makkelijk om je ergens anders uit te loggen als je dat vergeten bent maar als extra laag van beveiliging zie ik het absoluut niet.

Martao @GateKeaper • 1 augustus 2012 09:28

Huh? Als er iemand van een vreemde locatie jouw account gebruikt, dan zie je dat toch?

air2

@JohnVanZetten • 1 augustus 2012 16:56

Ik en waarschijnlijk velen met mij?

Waar baseer je dat op? Kun je dat onderbouwen? Ik zou die optie zeker aanzetten overigens. Maar het blijft een keuze natuurlijk.

Sjakko 1 augustus 2012 09:27

Ik geef gelijk toe dat ik niet op de hoogte ben, maar bestaan er dan geen wettelijke beveiligingseisen ter bescherming van klantgegevens? Ik begrijp dat dat internationaal wat moeilijker ligt, maar in een tijd dat hacks schering en inslag zijn zou men dat toch op z'n minst in de westerse wereld moeten kunnen regelen?

kwibus @Sjakko • 1 augustus 2012 09:37

Er zou een wettelijke eis moeten zijn voor de technische inrichting van al deze systemen. Wat je iedere keer weer leest zijn de volgende zaken:

1. opslag van non-encrypted passwords
2. Single authentication
3. Gebruik oude (lees: vergane) technieken

Zolang iedere cloud service nog zijn eigen opnieuw uitgevonden beveiligingstechniekjes gaat toepassen om mijn gegevens te beveiligen gaat deze jongen nog niet werken in de cloud!

Één systeem, onderhouden door een non-profit instantie onder toezicht.

Edit:
Bovenstaande ging dus niet helemaal op voor Dropbox lees ik net... Dropbox was niet gehacked maar er was toegang verkregen m.b.v. usernames/passwords van andere sites. Hoe dan ook, bovenstaand probleem is wel generiek.

[Reactie gewijzigd door kwibus op 23 juli 2024 00:13]

arjankoole

Beveiliging
Hackers

@kwibus • 1 augustus 2012 10:24

Één systeem, onderhouden door een non-profit instantie onder toezicht.

Leuke gedachte, maar gaat nooit gebeuren vrees ik.

Dreamvoid @kwibus • 1 augustus 2012 14:18

Één systeem, onderhouden door een non-profit instantie onder toezicht.

Uiteraard, want ambtenaren en hun toezichthouders zijn onfeilbaar.

Een commercieel bedrijf heeft tenminste een enorme stok achter de deur om de beveiliging op orde te hebben: hun eigen voortbestaan. Een non-profit overheidsinstantie met het monopolie op online storage kan prutsen wat ze willen, de klanten kunnen toch niet weg en de slager keurt zijn eigen vlees.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 00:13]

Orion84 Admin General Chat / Wonen & Mobiliteit @Sjakko • 1 augustus 2012 09:34

Wet bescherming persoonsgegevens:

Artikel 13

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Nu is natuurlijk de vraag of de persoonsgegevens die DropBox van jou verzamelt (gebruikersnaam, e-mail adres, wachtwoord) dusdanig gevoelig zijn dat ze in dit geval de wet overtreden. Zo gevoelig zijn die gegevens niet en ze hebben wel degelijk maatregelen getroffen, maar zoals altijd zijn die niet perfect.

[Reactie gewijzigd door Orion84 op 23 juli 2024 00:13]

tinzarian @Orion84 • 1 augustus 2012 10:06

Geloof me, in dit geval overtreden ze de wet, het CBP zou hier natte dromen over hebben, maar gezien het niet in Nederland is gebeurd vermoed ik dat ze weinig kunnen doen.

Een e-mail adres is voor het CBP net zo hard een persoonsgegeven als je naam, BSN, geboortedatum en fga zo maar door, en moet op de zelfde manier behandeld worden. Je kan je afvragen of CBP niet doorschiet in hun geldingsdrang en en wat ze beschouwen als persoonsgegevens (ik denk het wel), maar het is wel de huidige realiteit.

arjankoole

Beveiliging
Hackers

@tinzarian • 1 augustus 2012 10:24

Geloof me, in dit geval overtreden ze de wet, het CBP zou hier natte dromen over hebben, maar gezien het niet in Nederland is gebeurd vermoed ik dat ze weinig kunnen doen.

Als het nederlandse gebruikers van dropbox treft, kan het CBP hier zeker wel wat mee. Dropbox biedt haar diensten immers ook aan Nederlandse gebruikers aan.

tinzarian @arjankoole • 1 augustus 2012 11:03

Nog beter. Mijn zegen hebben ze.

Orion84 Admin General Chat / Wonen & Mobiliteit @tinzarian • 1 augustus 2012 11:36

Onzin, er zijn verschillende gradaties in persoonsgegevens en BSN en e-mail adres vallen alles behalve in dezelfde categorie en daar worden dus echt niet dezelfde eisen aan gesteld.

Verder is het enige wat DropBox in deze is aan te rekenen dat hun medewerker onvoorzichtig is geweest door een wachtwoord op meerdere plekken te gebruiken en dat bestand met adressen in DropBox te hebben staan. Technisch gezien is de beveiliging van DropBox in dit geval niet echt in gebreke. Organisatorisch is het de vraag of DropBox afdoende policies en procedures heeft opgesteld en bekendgemaakt bij hun medewerkers om dit soort situaties te voorkomen. Ik verwacht van wel, maar daar is weinig met zekerheid over te zeggen.

En zodra er dan toch een breuk op treedt dienen ze adequaat te handelen en dat hebben ze in feite ook gedaan.

Ik vraag me dus ten zeerste af of het CBP in dit geval gronden zou zien om DropBox hierop aan te spreken.

[Reactie gewijzigd door Orion84 op 23 juli 2024 00:13]

Dreamvoid @Sjakko • 1 augustus 2012 09:33

Perfectie ontstaat niet door een wet aan te nemen dat alles perfect moet zijn.

Sjakko @Dreamvoid • 1 augustus 2012 10:39

Wat is je punt? Dat het helemaal niets helpt? Als je punt is dat het niet direct alle problemen als sneeuw voor de zon doet verdwijnen, dan was me dat al duidelijk. Maar je hebt dan in elk geval een stok achter de deur. Als beheerders geen enkele verplichting hebben t.a.v. het veilig stellen van persoonsgegevens, dan hoef je geen helderziende te zijn om te voorspellen dat het een zootje wordt. Maar ik begrijp nu dat dit al Europees is geregeld.

Dreamvoid @Sjakko • 1 augustus 2012 10:59

Hun *complete business* is het veilig stellen van gegevens. Een serieuze breuk is het einde van hun bedrijf. Dat is de grootste stok achter de deur die er is.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 00:13]

Verwijderd 1 augustus 2012 09:11

en alweer blijkt dat de cloud diensten gewoon niet veilig zijn.
Ik blijf er in ieder geval ver van weg. Een USB kabeltje tussend e telefoon en de pc kan immers niet gehacked worden!

JohnVanZetten @Verwijderd • 1 augustus 2012 09:16

Nee, en je pc kan niet volzitten met malware en je telefoon is niet jailbroken/rooted dus ook 100% veilig

Waarom houden we nog steeds vast aan de schijnveiligheid dat allen wat je in-house hebt ook daadwerkelijk veilig is?

Verwijderd @JohnVanZetten • 1 augustus 2012 09:20

dat doe ik niet?
maar ik vind al lang dat het extreem onveilig is om bestanden ergens op een onbekende server te zetten en een 3de partij rechten geven om de bestanden te gebruiken.

En pc malware gaat meestal geen foto's en documenten doorsturen.
En het rooten van een telefoon heeft geen meerwaarde. En nu kom niet aan met android malware, daar heeft 0,001% van de gebruikers problemen mee.

Martao @Verwijderd • 1 augustus 2012 09:24

Fijn dat je dat vindt.

Maar voor sommige bestanden is het gewoon handig dat je er overal bij kunt, of dat het ergens gebackupt is. Een externe harde schijf is daarbij ook niet altijd een betere optie. Die kan ook affikken bij een brand of gejat worden bij een inbraak.

Kijk het is niet fijn als er gegevens buitgemaakt worden, maar dat heeft niets te maken met het delen van bestanden in de cloud. Waar hebben we het over? Hoe geheim zijn jouw bestanden? Als die heel geheim zijn kun je ze toch encrypten?

Verwijderd @Martao • 1 augustus 2012 09:31

Stel, je staat in maastricht op het station en de trein is er nog niet.
Welk bestand zou dan handig zijn om bij te kunnen?

Ik kan me geen bestand indenken dat ik overal zou moeten hebben. En al helemaal niet automatisch gesynchroniseerd.

Verder zijn mijn bestanden niet geheim, dat houd nog altijd niet in dat iedereen ze maar kan inzien.
Kwa persoonsgegevens heb je geen privacy, voor foto's en bestanden nog wel.

Wraldpyk @Verwijderd • 1 augustus 2012 09:56

Stel je zit op kantoor, en je zoekt een bestand. Maar wat blijkt, die staat op je thuis PC, en had je dus op een USB stick gezet die je nog steeds op je bureau hebt liggen.

Wat fijn dat ie inmiddels al gesynced is en op je werk computer staat. Dat is het voordeel van dropbox.

Ik, als webdeveloper, heb sommige van mijn prive projecten in dropbox staan (en mijn localhost webserver wijst naar die map) waardoor ik op meerdere computers (werk/thuis/bij mn ouders) bij die bestanden kan en vrolijk verder kan developen zonder dat ik steeds usb sticks of harde schijven hoef mee te zeulen.

Verder heb ik ook concerttickets op dropbox staan, zodat ik ze naar voren kan toveren op mijn telefoon wanneer ik bij de deur sta en geen tijd gehad heb om ze te printen (of ik ze vergeten ben).

OT :Erg kwalijk overigens deze hack. Maar hoe veilig je systeem ook is, er zullen altijd mensen in kunnen komen. Wel weer erg goed dat ze werken aan betere beveiliging. Straks eerst maar dubbele authenticatie aanzetten.

IStealYourGun @Wraldpyk • 1 augustus 2012 10:20

Een beetje it'er heeft toch gewoon ergens en 24/7 servertje draaien waarmee hij via een ssh connectie makkelijk aan zijn files kan.

MsG @IStealYourGun • 1 augustus 2012 10:49

Dat is dan net zo goed een "cloud"-oplossing ipv alles offline opslaan.

TDeK

Beveiliging

@IStealYourGun • 1 augustus 2012 10:55

Of het beste van twee werelden: http://owncloud.org/

Martao @Verwijderd • 1 augustus 2012 09:48

Weet ik veel, maar dat kan zoveel zijn.
Maar hoezo het perron in Maastricht? Ik dacht eerder op het werk, op school, of andere plekken waar je achter een PC zit die niet van jezelf is.

Anyway, privacy qua foto's? Laat me niet lachen.
Kijk eens op Facebook?

Blokker_1999

Hackers
Websites en community's
Privacy

@Verwijderd • 1 augustus 2012 09:58

Ben hier op het werk aan een klein project bezig dat ik transporteerde via men usb stick. Wenste de moeite niet te nemen om het in de cloud te zetten. Totdat je op donderdagavond thuiskomt, voor een lang weekend staat en merkt dat je die stick vergeten bent en in het weekend dus niet verder kunt werken.

Verwijderd @Blokker_1999 • 1 augustus 2012 10:37

Tussen een USB-stick (het sneaker-net van weleer) en Dropbox zitten heel veel grijstinten van remote toegang tot gegevens. Kies er een die voor jouw situatie ideaal is.
PS: weet je werkgever dat je met een USB stick werkt? Wat vindt hij/zij daar van? En waarom werk je in het weekend? En waarom niet op het werk? Waarom is de straat van het werk naar je huis eenrichtingsverkeer?

Martao @Verwijderd • 1 augustus 2012 11:06

In welk tijdperk leef jij, 1980?
Tegenwoordig werken zat mensen deels thuis, dat heet heel mooi 'het nieuwe werken'.
Dat kan dan ook in het weekend.

En terug naar je werk rijden omdat je iets vergeten bent, tja, als dat een uur rijden is, dan doe je dat niet.

TDeK

Beveiliging

@Martao • 1 augustus 2012 11:14

Dat kan dan ook in het weekend.

Nope, dan ben ik bezig met mijn leven

. Thuis ben ik thuis, op het werk ben ik aan het werk. Bazen proberen dat tegenwoordig nog wel eens te veranderen maar no way dat ik daar aan toegeef, want dan ben je voor je het weet altijd aan het werk. Voorbeeld: nieuwe machines zijn laptops zodat je 'overal' kunt werken. Sure.... wat jij wilt

[Reactie gewijzigd door TDeK op 23 juli 2024 00:13]

Martao @TDeK • 1 augustus 2012 11:35

Tja, je kunt toch vrijdagmiddag wat eerder weggaan en die uren dan zaterdagochtend even inhalen. Perfect. Of woensdagmiddag, speciaal voor mensen met kinderen op de basisschool, bijvoorbeeld.

En bij sommige werkgevers wordt je standaard geacht over te werken. Niet mijn stijl, maar voor veel mensen wel.

Menesis @Verwijderd • 1 augustus 2012 11:44

Het is erg handig als je een laptop en een PC hebt die je beiden wel eens gebruikt voor projecten. Als ik thuis wil werken gebruik ik mn pc met groot scherm. Soms ga ik naar de bieb met mn laptop en dan ben ik blij dat alles gesynct is via dropbox.
En ja, natuurlijk kan dat ook via een USB stick. Maar dan loop je steeds bestanden te kopieren en loop je het risico dat je opeens met een oude versie zit te werken. Bovendien werkt dropbox ook als backup en versiebeheer systeem (je kunt oudere versies van bestanden terughalen).

Zelfde voor mn telefoon: elke foto die ik neem komt automatisch in dropbox. Als ik mn telefoon kwijt zou raken ben ik de foto's niet kwijt.

Nog iets heel anders: wat gebeurd er als je je dropbox folder via het windows filesysteem encrypt? Is het dan niet simpelweg VEILIG als dropbox gehackt wordt?

Verwijderd @Martao • 1 augustus 2012 10:19

Brand komt zelden voor en is geen argument om alles digitaal op te slaan waar het gejat kan worden door een of andere kid ergens in Azië bijvoorbeeld. Diefstal komt meer voor in de samenleving maar daar zijn ze niet op zoek naar je fotoalbum of echtscheidingspapieren. En je paspoort kun je beter opbergen dan in dat kastje, echt.

Encryptie is ook al geen argument. De bestanden kunne wel gejat worden. Ik voel me niet veiliger wetende dat ik een zware encryptie op MIJN bestanden heb die ergens liggen te wachten, als een tijdbom, totdat iemand uiteindelijk de encryptie doorbreekt. Vergelijk het met een kluis die door inbrekers uit je huis gejat wordt. Ik voel me niet beter wetende dat er een plasma lans op gezet wordt en dan hebben ze alsnog mijn spullen.

Een kluis of een cloud is een groot uitroepteken. Elke inbreker gaat voor de kluis. Weinig mensen hebben een lege kluis als afleiding terwijl de waardevolle spillen gewoon onder het bed liggen. Elke internet crimineel ziet een cloud dienst als een gouden hoorn des overvloeds, wat je daarin al niet kunt vinden. En het mooie is, die 'kluis' is oneindig groot. In de cloud zoek je niet naar inhoud maar naar de sleutel, want je hoeft maar een loser te vinden die al zijn wachtwoorden in een bestandje zet en het daar 'veilig' bewaard en je kunt iemand strippen tot op het bot.

En...als zoals je zegt, hoe geheim zijn je bestanden? Wel, als het onbelangrijke bestanden zijn die overal vrij op internet te vinden zijn, dan zie ik het nut er niet van in, want dan heb je geen cloud dienst nodig, je kunt ze immers ook gewoon elders halen of downloaden. Dan praat je over mp3's, wat filmpjes, misschien een e-boek en misc rotzooi. Wel, daar hoef je ook niet echt bij als je op vakantie gaat.
Maar wie neemt nou een 'overwogen' risico voor 2 of 3 weken vakantie? En als je op vakantie gaat, dan neem je je laptop zowiezo mee, en daar staan die bestanden ook op.
Een cloud is geen oplossing voor een probleem, het is ent als met zo veel dingen, gewoon iets wat je wordt aangepraat.

En ik had bijna ooit een account bij dropbox... Omdat ik iemand wilde helpen met wat grote files. En zo blijkt voor de tigste keer dat mijn terughoudendheid om accounts aan te maken al wat oplevert.

Martao @Verwijderd • 1 augustus 2012 11:17

HUH? Onder welke steen leef jij?
Brand is juist een hele logische reden om dingen op 2 locaties op te slaan. Het komt weinig voor, maar je bent wel alles kwijt.

En encryptie is juist hét argument. Het is niet dat het dan onbreekbaar is, maar het is zeer de vraag of het dan de moeite waard is om veel geld en tijd te besteden aan een (brute force) hack. We hebben het hier dus over prive bestandjes die niet gevoelig zijn heh? Niet echt, in ieder geval. Voor echt gevoelige dingen heb je wellicht gelijk, maar daar moet je dan wat anders voor verzinnen.

En dan vakantie, waar haal je dat argument uberhaupt vandaan? Ik heb het niet genoemd. Het kan een uitstekend voorbeeld zijn van een moment dat je bij dingen wilt die je niet bij je hebt, dus het slaat ook nog eens nergens op. Niet iedereen neemt zijn laptop mee, en niet iedereen heeft alles op zijn laptop staan.Nee, het gaat meer op allerlei momenten dat je je eigen systeem en data dus NIET bij je hebt. Nogmaals: op je werk, op school, bij vrienden en whereever. Cloud is bij uitstek een oplossing voor dit soort problemen. Niet voor alle problemen, dat is waar, maar jij laat je nu een soort angst aanpraten die vergelijkbaar is met de angst voor kernenergie. Over aanpraten gesproken.

Overigens heeft je terughoudenheid je niks opgeleverd, want DropBox is dus NIET gehackt en je hebt ongetwijfeld een hoop andere accounts, minimaal Tweakers. Ooit, ergens zal een van die gehackt worden. Nou ja, dat is hoogstwaarschijnlijk allang gebeurd.

ZeroXT @Martao • 1 augustus 2012 09:49

Jullie vergeten allen dat er niet alleen een beveiligingsrisico voor je bestanden die je bij Dropbox hebt gehost, maar ook dat de hacker informatie over je account heeft verkregen.

Dropbox heeft erkend dat er recentelijk een hack heeft plaatsgevonden en dat daarbij inloggegevens en emailadressen van gebruikers zijn buitgemaakt.

Ik heb zelf ook bestanden bij Dropbox staan, echter zijn dit bestanden die ik in een project voor school moest delen. Het maakt mij totaal niet uit als er wat met die bestanden gebeurd omdat ik de bestanden niet meer nodig heb en eigenlijk alleen een Dropboxaccount voor dat specifiek project heb aangemaakt.

Wat mij wel heel erg stoort is dat mijn e-mailadres buit gemaakt is. Onlangs kreeg ik e-mails van Euro Dice wat ik kon markeren als spam. Achteraf bleek dit door de hack te komen van Dropbox.

Ik krijg dus spam (voorheen nog niet eerder gekregen omdat het een specifiek e-mailadres is die ik alleen zakelijk gebruik) EN mijn bestanden zijn minder veilig geworden (wat mij in deze situatie minder uitmaakt maar toch..), doordat Dropbox niet zijn beveiliging op orde had.

Martao @ZeroXT • 1 augustus 2012 11:07

Allereerst heeft DropBox een hack helemaal niet toegegeven.
Ten tweede, lekker boeiend, die spam. Dat haalt je spamfilter er toch gewoon uit?

ZeroXT @Martao • 1 augustus 2012 16:27

Ten eerste, in het originele bericht stond dat Dropbox erkende dat er een hack heeft plaats gevonden (zie de quote in mijn bovenstaande bericht).

Ten tweede, je opmerking over dat je spam niet boeiend vindt slaat kant noch wal. Ik wens geen spam te ontvangen maar krijg deze alsnog vanwege dit verhaal. De spamfilter, filtert een hoop maar kan niet alles filteren. hoe dan ook hoort men gewoon geen spam te versturen vanwege het feit dat vele mensen het hindelijk vinden en niet op ongewenste reclame zit te wachten. Of je nu wel of geen spamfilter hebt.

Toevallig dat ik mijn mail zelf host en IK nu moeite moet doen om mijn spamfilter nog beter te configureren omdat ANDERE mensen mij lastig willen vallen.

Martao @ZeroXT • 1 augustus 2012 16:51

Kom op zeg. Niemand wenst spam te ontvangen, maar jij deed alsof je e-mailadres gevoeliger is dan de data die op DropBox staat en dat het daarmee nog kwalijker zou zijn. Dát raakt kant noch wal. Kijk, het is jammer, maar spam is gewoon een fact of life.

Overigens heb ik er met GMail helemaal niet zoveel last van. Dat jij graag moeilijk wilt doen en een eigen mailserver wil, prima, maar dan moet je ook niet klagen dat je voor dat soort dingen verantwoordelijk bent. Dat wilde je zelf, en daar kunnen natuurlijk valide redenen voor zijn.
Maar het is niet voor niets dat bedrijven zich specialiseren op 1 ding en dergelijke "niche-taken" inkopen of uitbesteden. Je bent eigenlijk het wiel opnieuw aan het uitvinden.

ZeroXT @Martao • 1 augustus 2012 17:12

Ik heb duidelijk uitgelegd dat in mijn situatie de bestanden die ik op Dropbox heb staan minder belangrijk vind dan dat mijn e-mailadres is buitgemaakt.

Dat ik wel of niet een eigen mailserver heb draaien is hier ook niet van belang. Ik leg mijn verantwoordelijkheid niet naast me neer dat ik mijn eigen spamfilter moet configureren. Maar het feit blijft dat door een bedrijf dat de beveiliging niet op orde had, mijn gegevens openbaar zijn gekomen waardoor er nu meer spam wordt verstuurd.

Wanneer ik mijn laatste alinea niet had geschreven in het vorige bericht had je waarschijnlijk niet gereageerd. Overigens zijn er veel meer mensen die last hadden van spam zoals je hier en hier en hier kan lezen. En ik geloof niet dat alle anderen een eigen mailserver hebben draaien.

[Reactie gewijzigd door ZeroXT op 23 juli 2024 00:13]

F.U.B.A.R @Verwijderd • 1 augustus 2012 09:23

Je kan de bestanden die je online zet ook encrypteren. Afhankelijk van de gekozen encryptie en sleutel is dat weer een extra niveau van beveiliging.

Verwijderd @F.U.B.A.R • 1 augustus 2012 10:08

Je leeft in een droomwereld. Encryptie? Laat me niet lachen. Je hoeft geen files op zo'n dienst te zetten om al spam te krijgen omdat een medewerker om volstrekt onduidelijke redenen, tegen alle logica in, email adressen van gebruikers n zijn eigen box zet.

Ik zal nooit gebruik maken van cloud diensten omdat het naïef en een illusie is te denken dat de boel veilig is.

Mensen dienen te leren dat er twee aparte werkelijkheden bestaan, die niet geïntegreerd dienen te zijn. Je hebt het echte leven en het internet. Daar horen 'firewalls' tussen te zijn. De verregaande integratie van online in het normale leven is onwenselijk en wordt steeds onwenselijker. Deze site heet tweakers.net. Maar je had het ook 'hackingspamberichten.net' kunnen noemen en dan was het ook goed geweest. Want elke dag is er wel een bericht, meestal meerdere, over criminaliteit op internet.

Generaties van nu weten niet beter, die zijn opgegroeid met internet. Maar ik ben van een generatie die het allemaal heeft zien opkomen. Daarmee heb ik een zeker voordeel. Dat voordeel bestaat uit het kunnen vergelijken van de wereld voor internet en die van nu. En ik zeg je, dingen waren toen beter. We waren veiliger, we hadden meer privacy, het was veel moeilijker voor criminelen om toegang te krijgen tot gegevens. We hadden geen noodzaak om papierwerk elders op te slaan. We hadden echte fotoboeken en het ergste waar je bang voor was dat die door brand zouden worden vernietigd. Maar hoe groot is de kans dat je huis inv lammen op gaat? En hoe groot is de kans dat je tegenwoordig gehackt wordt?

Ik krijg ineens spam met mijn echte naam in het onderwerp. Ik sta dus ergens op een lijst en daar kom ik NOOIT meer vanaf. Ik heb dus geen keus om dat email adres uit de roulatie te namen. En dan nog zullen er traceerbare elementen zijn.

Extra niveaus van beveiliging, jaja. Wat een wereld. Internet is handig, maar het is tool, het is niet je leven, het is niet je eigen veiligheid en anonimiteit en zeker niet je broodnodige privacy. En niemand gaf zijn foto album vroeger aan een ander voor opslag, of zijn diploma's, of zijn scheidinspapieren of wat dan ook.

Dat hield je bij jezelf, want het is van jezelf. Generaties van nu, kids van tegenwoordig, die worden stelselmatig ingelijfd in een online leven dat schade kan opbrengen maar er weinig voor terug geeft. Internet is een bibliotheek, meer niet en dat zou zo moeten blijven. Voor de rest is het een groot beveiliginsgrisico.

T-Adnan @Verwijderd • 1 augustus 2012 11:21

Ik ben het deels eens met je mening. Vroeger waren sommigen dingen ook beter, maar……..

Dat gegevens zich naar de Cloud verplaatsen is een logische evolutie lijkt me. Internet neem je mee tegenwoordig en heb je in je broekzak. Je kunt 24/7 in principe bij je gegevens en gegevens van anderen. Dat biedt mogelijkheden en nieuwe business-modellen, maar vooral gebruikersgemak. Geen usb-sticks, geen flash-cards en vooral niet verbinden met je PC om data te synchroniseren.

Clouddiensten beginnen steeds volwassener te worden en dat geldt tevens voor de security mogelijkheden, (zie Google’s implementatie voor 2way authenticatie).

Een voordeel van de explosieve toename aan hacks is het feit dat er awareness wordt gecreëerd bij de gebruiker en vooral de getroffen bedrijven. Als gebruiker kun je Cloud-diensten gebruiken, maar zorg er voor dat je daar (voor jouw) niet kritische data opslaat. Mocht het onverhoopt een keer verkeerd aflopen dan is de schade beperkt.

En ja je levert een deel van je privacy in maar dat je vooralsnog vrijwillig volgens mij als je gebruik maakt van de betreffende --meestal gratis- dienst. Hoewel het ‘gratis’ je betaalt met je privacy namelijk. Als sommigen en plein air posten dat ze van periode x tot en y op vakantie gaan en vervolgens wordt hun huis leeggehaald is het toch echt stupiditeit van de gebruiker en niet de tool of dat het vroeger beter was.Vroeger kon je dat inderdaad niet gebeuren of je moest met een bord om je nek lopen met je vakantiedata erop.

Ja het gebruik van internetdiensten gaat gepaard met -soms gevoelige- privacy aspecten, maar weegt dit op tegen de mogelijkheden die het internet de afgelopen decennium heeft kunnen bieden en dat nog steeds doet. Net als de mensheid bijvoorbeeld de stenentijdperk heeft meegemaakt of de industriële revolutie (die China wederom doorloopt).
Maken wij nu deel uit van de informatierevolutie en zoals velen “revoluties” daar zitten nadelen aan, maar het over grote deel biedt mogelijkheden en kansen.

Dreamvoid @Verwijderd • 1 augustus 2012 11:01

Ik zal nooit gebruik maken van cloud diensten omdat het naïef en een illusie is te denken dat de boel veilig is.

Een bank kan ook beroofd worden, maar het is toch veiliger dan je geld in je matras duwen.

En niemand gaf zijn foto album vroeger aan een ander voor opslag, of zijn diploma's, of zijn scheidinspapieren of wat dan ook.

Natuurlijk wel, je legde dat soort belangrijke documenten vroeger bij de notaris.

Uiteindelijk blijft het een afweging of je gegevens bij professionals opslaan beter is dan zelf als amateur opereren.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 00:13]

supersnathan94 @Dreamvoid • 1 augustus 2012 12:41

Natuurlijk wel, je legde dat soort belangrijke documenten vroeger bij de notaris.

of zo'n mooi kluisje bij de bank waar je zo'n prachtig rare sleutel van krijgt. ik had daar vroeger onder andere mijn geboorteakte liggen en foto's van m'n moeder.

johnydoe

@Verwijderd • 1 augustus 2012 10:19

Leuk verhaal hoor, heel opa verteld enzo, maar al die dingen die opnoemt kunnen natuurlijk nog steeds. Ik zie genoeg mensen die digitale foto's zowel op facebook zetten (om te delen met oma die in Canada woont) en daarnaast in een mooi fotoboek plakken, omdat het tastbaarder is op verjaardagen etc.

Daarnaast praat je over het onwenselijk zijn van de diepe integratie van online in het leven, maar mag ik even zelf bepalen of ik dat al dan niet onwenselijk vind?!

Ik zou zeggen, trek je utp kabel uit je pc, doe je alu hoedje op en leef lekker je leven offline verder

Nactive @Verwijderd • 1 augustus 2012 10:29

Je moet ook wel opletten dat je niet te veel blijft `vast plakken` bij de goede oude tijd, tegen woordig is er veel meer op internet mogelijk onderandere omdat:

het internet veel sneller was
Er geen bandbreedte limieten meer zijn
Iedereen bijna internet heeft

Vroeger bestonden er minder zaken op internet zoals facebook, dropbox die je privacy kunnen schenden maar daarom is dit allemaa niet slecht. Ik denk dat er veel voordelen aan dergerlijke diensten zijn.

Ik zelf gebruik bijvoorbeeld dropbox om bestanden gesynced te houden tussen mijn laptop en desktop computer. Die tool is SUPER handig, en is echt ideaal voor wat het moet doen. En zoals hierboven al is aangehaald, indien ik wil dat mijn bestanden beschermd worden kan ik ze altijd encrypteren. Dat mijn email adres daar gestolen kan worden en ik zo op een spam lijst kan komen, dit is al het geval vanaf het ontstaan van `accounts` op het internet, dut dit is echt niet nieuws. Het is alleen recent dat er veel meer wordt gehacked en dit veel publieker wordt gemaakt.

Ik kan wel in je uitleg inkomen dat tegenwoordig te veel mensen prive gegevens op internet gooiien. En faecbook is hiervan de ergeste van allemaal. Zij weten echt wel HEEL veel van je, en 90% van de gebruikers zal dit niet doorhebben. Maar facebook heeft toch ook weer zijn voordelen, je kan makelijker met elkaar contact houden met andere mensen, je weet want ander mensen die je niet veel ziet mee bezig zijn, ... (Ik ga niet zeggen dat de wereld niet zonder facebook kan bestaan, maar het is ook niet dat dit satan zelven is).

Al bij al, denk ik dat het internet er wel op verbeterd is, en ik ben wel een fan van cloud diensten als dropbox, google docs, ... Maar er zijn wel te veel mensen die te veel prive gegevens te grabbel gooiien.

Een groot probleem met al deze zaken is ook wat Dropbox zelf heeft voorgehad, en dat is dat eenzelfde wachtwoord op verschillende plaatsen wordt gebruikt. Ik kan dat ook begrijpen. Stel dat jet 5-6 accoutns hebt waar je regelmatig op inlogt op het internet en nog is een 6 waar je sporiadische op inlogt dan heb je dus al 12 wachtwoorden dat je zou moeten onthouden, dit is veel te veel voor gewone mensen. De meeste mensen hebben dan ook meestal maar een 3-4 tal passwoorden die ze hergebruiken op andere diensten.

Cafe Del Mar

@Verwijderd • 1 augustus 2012 09:25

In aangepast vorm heb je dat nu ook al, tenzij je uw toestellen niet aan het internet hangt.
Als je een worm, backdoor, trojan, ... op uw pc hebt, vallen die gegevens ook in criminele handen, en misschien maken ze veel meer buit dan enkel een emailadres.

Zoals hierboven gezegd: in-house is niet per sé veiliger.
Zelfs offline is dat niet, kijk maar naar de centrifuge-installaties in Iran. Ze hingen niet aan het internet, maar via USB-sticks is er toch een virus op terecht gekomen...

Misschien moet je gewoon, zowel online als offline, zowel cloud als eender wat, heel aandachtig zijn voor veiligheid.

wizzkizz @Verwijderd • 1 augustus 2012 09:44

Ik ben erg blij met mijn cloud-provider (Wuala), die mij meer dan 100GB aan opslag geeft. Op mijn devices (desktop, laptop, tablet, telefoon) kan ik zodoende altijd over de meest recente versies van bestanden beschikken. Ik kan dus zonder enige moeite wisselen van device, bijvoorbeeld tussen desktop en laptop. Of in vergadering/meeting even een bestand opvragen via mijn tablet of telefoon. Heerlijk gewoon!

Mijn 'cloud-storage' is gewoon beschikbaar als netwerkstation op desktop/laptop (met lokale caching) en via een app op mijn mobiele apparaten. Daarnaast kan ik off-site backups instellen, die dan niet gesynchroniseerd worden, maar wel via de netwerkschijf beschikbaar zijn. Of gewoon eenmalig bestanden 'in de cloud' gooien. En natuurlijk synchronisatie van mijn KeePass bestanden, zodat ik overal over mijn wachtwoorden kan beschikken.

En het mooiste van alles: al mijn bestanden worden op de device versleuteld (AES256) voordat ze verstuurd worden! Geen risico dat onbevoegden deze kunnen lezen dus, want mijn zeer sterke wachtwoord heeft een hoge entropie. En kan ik aflezen op mijn PasswordCard die altijd in mijn portemonnee zit, mocht dat nodig zijn.

mokkol @Verwijderd • 1 augustus 2012 10:43

en dan verlies je je telefoon of hij wordt gejat en dan zijn je gegevens wel veilig.

sfranken @Verwijderd • 1 augustus 2012 10:53

Keyloggers, file system watchers en ga zo maar door. Mogelijkheden genoeg.

T-Adnan @Verwijderd • 1 augustus 2012 11:27

Dat is schijnveiligheid. Maak je gebruik van een recente smartphone met een eigen app-ecosysteem (iOS, Android, Windows) zweven je gegevens ergens in de cloud that's part of the deal

Verwijderd @Verwijderd • 1 augustus 2012 11:47

Dit heeft niets met cloud diensten te maken. Dit kan ook bij andere netwerkdiensten die niet in een cloud zitten gebeuren.

bbr @Verwijderd • 1 augustus 2012 21:12

Er is al tijden geleden aangetoond dat je vanaf 5 or meer meter zelfs kan "meten" wat de electronische aanslagen van je wired keyboard zijn.

Dus, usb kabeltje zal niet anders zijn.

Remcoder @Verwijderd • 1 augustus 2012 09:15

In theorie wel. Je kan meet apparatuur ontwikkelen die gevoelig genoeg is om de spanningsverschillen je usb kabel te meten en daarmee de communicatie te onderscheppen.

[Reactie gewijzigd door Remcoder op 23 juli 2024 00:13]

Verwijderd @Remcoder • 1 augustus 2012 09:37

Die apparatuur bestaat al heel lang hoor, voor bedrijfsspionage en militaire toepassingen.

Ach ja, ik heb niks te verbergen hoor, zoalng ze de spullen maar niet vernietigen. Online diensten blijven ideaal voor backup omdat bij calamiteiten in je eigen huis (brand, inbraak) deze spullen gewoon onaangeroerd blijven.

daarnaast moet eenieder een bcakup procedure hebben die je belangrijke data zowel local als Online update.

daarnaast je mobile phone zo snel mogelijk laten syncen als je thuis bent. kan heel goed automatisch.

MM99 @Verwijderd • 1 augustus 2012 15:19

...Ach ja, ik heb niks te verbergen hoor,...

Grootste onzin argument ever. Je geeft je vrijheid weg, omdat je niks te verbergen hebt?

Het is het zelfde als mensen zeggen "ow ze mogen wel overal camera's hangen, want ik heb toch niks te verbergen". Hoe zit het met je vrijheid? Met je privacy? Doet al die dingen dan helemaal niet toe? Wil je echt dat er een mogelijkheid is dat iedereen je op elke moment van de dag je kan bekijken en zien wat je doet? Puur omdat je niks te verbergen hebt?!

Het gaat niet om of je wel of niet iets te verbergen hebt, het gaat om de vrijheid die je wilt behouden. Als iemand iets te verbergen heeft, lukt het hem ook wel ondanks alle maatregelen.

Pogostokje @MM99 • 1 augustus 2012 16:21

Het is het zelfde als mensen zeggen "ow ze mogen wel overal camera's hangen, want ik heb toch niks te verbergen". Hoe zit het met je vrijheid?

Vrijheid is dat ik kan gaan waar ik wil en dat ik kan zeggen en doen wat ik wil. Daar heeft een camera echt helemaal niks mee te maken, die gaat mij tenslotte nergens in tegenhouden. Bovendien hangt die camera daar niet voor mij, maar voor die overvaller die voor de 3e keer toeslaat en waarvan niemand nog weet wie het is.
Je begrijpt dat anderen misschien vinden dat je wat overdrijft met dat "weggeven van vrijheid"? In ons land, onze maatschappij is dat gewoon niet aan de orde zoals dat jij schetst.

avanhel @Verwijderd • 1 augustus 2012 10:13

Ik ben ook niet bang dat mensen zien wat ik heb opgeslagen, waar ik me meer zorgen over maak is de bestanden die kwaadwillenden kunnen opslaan op mijn account.
Ik wordt er namelijk wel verantwoordelijk voor gehouden.

Het is dezelfde reden waarom ik mijn WIFI beveilig.

Givanisovic 1 augustus 2012 09:23

Volgens mij hadden ze al two-factor authentication en wordt het nu three-factor of multi-factor. Of heb ik het nu mis?

Two-factor authentication is often confused with other forms of authentication. Two factor authentication requires the use of two of the three regulatory-approved authentication factors. These factors are:

Something the user knows (e.g., password, PIN);
Something the user has (e.g., ATM card, smart card); and
Something the user is (e.g., biometric characteristic, such as a fingerprint).
bron: Wikipedia

[Reactie gewijzigd door Givanisovic op 23 juli 2024 00:13]

Orion84 Admin General Chat / Wonen & Mobiliteit @Givanisovic • 1 augustus 2012 09:27

Welke twee factoren hadden ze dan al? Volgens mij is het nu alleen een wachtwoord en dat is toch echt alleen maar "something you know".

Met het toevoegen van een SMS code wordt daar "something you have" aan toegevoegd, immers toon je door het invoeren van de SMS code aan dat je de beschikking hebt over de telefoon die hoort bij dat account.

Givanisovic @Orion84 • 1 augustus 2012 09:32

Dat klopt helemaal.

Ik gebruik zelf geen Dropbox, maar op de website moet je inloggen met een gebruikersnaam én wachtwoord.
Is er in het programma dan alleen een wachtwoord voldoende?

Orion84 Admin General Chat / Wonen & Mobiliteit @Givanisovic • 1 augustus 2012 09:35

Gebruikersnaam en wachtwoord zijn allebei voorbeelden van "something you know". Het is pas two-factor als je twee verschillende factoren uit dat lijstje gebruikt.

Ook al moet je 30 wachtwoorden invullen, dat blijft single factor

Sowieso telt de gebruikersnaam eigenlijk niet eens echt mee, aangezien die niet geheim te houden is.

[Reactie gewijzigd door Orion84 op 23 juli 2024 00:13]

Givanisovic @Orion84 • 1 augustus 2012 09:44

Je hebt gelijk. Ik zag je username als "something you are", maar dat is niet juist. Dat gaat meer over biometrie zoals vingerafdruk en irisscan.

Caelorum @Givanisovic • 1 augustus 2012 09:37

Nee, maar de combinatie van het gebruikersnaam met het wachtwoord is iets wat je weet. Dat is nog steeds niet two-factor.

IJzerlijm 1 augustus 2012 09:12

Nadat de email adressen zijn gelekt moet je nu ook je telefoonnummer aan Dropbox geven en zelf je account gaan monitoren voor rare activiteiten. De overlast veroorzaakt door deze maatregelen is veel erger dan een paar spam mailtjes ontvangen.

Wiebson 1 augustus 2012 09:12

Gebruikersnamen en wachtwoorden, neem aan dat een dienst zoals dropbox toch wel een salt gebruikt bij het opslaan van de wachtwoorden...

En een lijst met e-mailadressen van gebruikers in je dropbox?? Why?

JohnVanZetten @Wiebson • 1 augustus 2012 09:14

Vooral dat laatste inderdaad, die medewerker verdiend een officiele waarschuwing/ op staande voet ontslag!

Martao @JohnVanZetten • 1 augustus 2012 09:26

In het kader van "Eerst schieten, dan vragen"?

JohnVanZetten @Martao • 1 augustus 2012 09:31

Ongeveer ja.
Corporate data hoort op corporate opslag, niet in de (prive) Dropbox-folder van een medewerker.
Het lijkt me dat Dropbox intern wel een "standaard" storage-systeem gebruikt.

Martao @JohnVanZetten • 1 augustus 2012 09:51

Assumptions are the mother of all fuckups.
Misschien was het wel simpelweg een mailinglist ivm iets waar hij mee bezig was. Er staat nergens dat dit een enorme lijst was die hij niet had mogen hebben. Misschien is het wel zo, maar daar ga je maar van uit.

Verwijderd @Martao • 1 augustus 2012 10:43

De aanname was in dit geval dat het geen kwaad kon om deze gegevens daar op te slaan, en om die gegevens met een generiek wachtwoord te beveiligen. Zoveel is wel duidelijk, laten we de zaken niet omdraaien.

Martao @Verwijderd • 1 augustus 2012 11:18

Ja, en dat lijkt me PRIMA voor een klein lijstje met emailadressen.
Jij draait de boel om.

IStealYourGun @Wiebson • 1 augustus 2012 09:38

Paswoorden zijn niet gestolen bij hen. Ze gebruiken usernames en paswoorden die van andere website hacks om in te loggen en hebben zo eentje van hun medewerkers te pakken gekregen.

Ze geven dan ook de ironische raadgeving:

"At the same time, we strongly recommend you improve your online safety by setting a unique password for each website you use."

Had die medewerker dat maar gedaan.

(/me is blij dat hij een uniek paswoord heeft voor zijn dropbox account)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (115)

Sorteer op:

Weergave: