21 June 2011, 13:38
Afgelopen zondag kampte Dropbox enkele uren met een bug waardoor gebruikers zonder geldig wachtwoord konden inloggen. Het is binnen enkele maanden het tweede beveiligingsprobleem voor Dropbox, dat zichzelf juist als veilig profileert.
Een Dropbox-gebruiker ontdekte zondag dat het mogelijk was om zonder geldig wachtwoord in te loggen op Dropbox.com, waardoor bestanden van andere gebruikers konden worden bekeken. Het is niet duidelijk of dat in alle gevallen mogelijk was; Dropbox is daar enigszins cryptisch over. Wel geeft het bedrijf in een blogpost toe dat er een probleem met het authenticatiesysteem was, waardoor sommige gebruikers zonder het juiste wachtwoord konden inloggen.
De deur naar de Dropbox-accounts stond enkele uren open; zondagavond Nederlandse tijd werd een software-update uitgerold die het desbetreffende beveiligingslek introduceerde. Krap vier uur later werd het probleem ondekt, waarna Dropbox het lek naar eigen zeggen binnen vijf minuten dichtte. Het bedrijf verontschuldigt zich voor het beveiligingsprobleem - "Het had nooit mogen gebeuren", schrijft chief technical officer Arash Ferdowsi in de blogpost - en onderzoekt of er misbruik van is gemaakt. Ferdowsi stelt dat gebruikers die door het lek zijn getroffen, op de hoogte worden gesteld.
Gedurende de tijd dat toegang zonder wachtwoord mogelijk was, zou 'minder dan 1 procent' van de Dropbox-gebruikers hebben ingelogd. Het is nog onduidelijk hoeveel van hen dat hebben gedaan zonder het juiste wachtwoord te gebruiken.
Het is niet de eerste keer dat Dropbox met een beveiligingsprobleem kampt. In april bleek de Dropbox-clientsoftware een kwetsbaarheid te bevatten, al was die minder vergaand. Het bleek mogelijk om met enkel het host_id van een gebruiker toegang tot alle bestanden te verkrijgen. Dat host_id is niet openbaar toegankelijk; om het in handen te krijgen is toegang tot de computer van een gebruiker noodzakelijk. Toch had het voor malwaremakers interessant kunnen zijn om ongemerkt in te loggen op Dropbox-accounts; toegang bleef namelijk mogelijk als de malware werd ontdekt en verwijderd. Dropbox hield destijds vol dat het niet om een beveiligingsprobleem ging, maar beloofde wel een update uit te brengen om het probleem op te lossen. Van de update is echter nog altijd geen stable verschenen.
Een maand later ontstond ophef toen bleek dat medewerkers van Dropbox toegang hadden tot bestanden van gebruikers. Het bedrijf heeft altijd volgehouden dat medewerkers geen toegang hebben, maar toen Dropbox in zijn nieuwe gebruiksvoorwaarden schreef dat het bestanden van gebruikers decrypt en aan de overheid overhandigt wanneer dat vereist is, kon worden beredeneerd dat in ieder geval sommige medewerkers toegang tot bestanden van gebruikers moesten hebben.
Bij het decrypten ging het overigens enkel om de ingebouwde versleuteling van Dropbox zelf; het bedrijf verwijdert geen eventuele encryptiemechanismen die gebruikers hebben aangebracht. Slechts een klein deel van de personeelsleden van Dropbox is overigens in staat om bestanden te decrypten en in te zien, stelt het bedrijf.
Deze opeenstapeling van beveiligingsproblemen roept bij veel gebruikers vragen op over de beveiliging van hun bestanden. Gebruikers klagen op het Dropbox-weblog massaal over het beveiligingsprobleem, maar ook over het feit dat er geen algemene e-mail naar gebruikers is gestuurd waarin het beveiligingsprobleem wordt toegelicht. Het feit dat het probleem binnen vijf minuten kon worden opgelost, geeft bovendien aan dat het waarschijnlijk om een simpel lek ging, terwijl Dropbox zichzelf juist als een veilige opslagdienst profileert. "We gebruiken dezelfde beveiligingsmethoden als banken en het leger", schrijft het bedrijf zelfs op een supportpagina.
Tot nu toe ging het de start-up voor de wind. Het bedrijf had in januari 2010 in totaal 4 miljoen gebruikers, waarvan een onbekend deel een betaald abonnement heeft. Waarschijnlijk heeft het bedrijf nu echter nog veel meer gebruikers. Dropbox zou inmiddels 1 tot 2 miljard dollar waard zijn.
Gepost op 21 juni 2011 om 10:48.
Lees het complete artikel via deze link.
Een Dropbox-gebruiker ontdekte zondag dat het mogelijk was om zonder geldig wachtwoord in te loggen op Dropbox.com, waardoor bestanden van andere gebruikers konden worden bekeken. Het is niet duidelijk of dat in alle gevallen mogelijk was; Dropbox is daar enigszins cryptisch over. Wel geeft het bedrijf in een blogpost toe dat er een probleem met het authenticatiesysteem was, waardoor sommige gebruikers zonder het juiste wachtwoord konden inloggen.
De deur naar de Dropbox-accounts stond enkele uren open; zondagavond Nederlandse tijd werd een software-update uitgerold die het desbetreffende beveiligingslek introduceerde. Krap vier uur later werd het probleem ondekt, waarna Dropbox het lek naar eigen zeggen binnen vijf minuten dichtte. Het bedrijf verontschuldigt zich voor het beveiligingsprobleem - "Het had nooit mogen gebeuren", schrijft chief technical officer Arash Ferdowsi in de blogpost - en onderzoekt of er misbruik van is gemaakt. Ferdowsi stelt dat gebruikers die door het lek zijn getroffen, op de hoogte worden gesteld.
Gedurende de tijd dat toegang zonder wachtwoord mogelijk was, zou 'minder dan 1 procent' van de Dropbox-gebruikers hebben ingelogd. Het is nog onduidelijk hoeveel van hen dat hebben gedaan zonder het juiste wachtwoord te gebruiken.
Het is niet de eerste keer dat Dropbox met een beveiligingsprobleem kampt. In april bleek de Dropbox-clientsoftware een kwetsbaarheid te bevatten, al was die minder vergaand. Het bleek mogelijk om met enkel het host_id van een gebruiker toegang tot alle bestanden te verkrijgen. Dat host_id is niet openbaar toegankelijk; om het in handen te krijgen is toegang tot de computer van een gebruiker noodzakelijk. Toch had het voor malwaremakers interessant kunnen zijn om ongemerkt in te loggen op Dropbox-accounts; toegang bleef namelijk mogelijk als de malware werd ontdekt en verwijderd. Dropbox hield destijds vol dat het niet om een beveiligingsprobleem ging, maar beloofde wel een update uit te brengen om het probleem op te lossen. Van de update is echter nog altijd geen stable verschenen.
Een maand later ontstond ophef toen bleek dat medewerkers van Dropbox toegang hadden tot bestanden van gebruikers. Het bedrijf heeft altijd volgehouden dat medewerkers geen toegang hebben, maar toen Dropbox in zijn nieuwe gebruiksvoorwaarden schreef dat het bestanden van gebruikers decrypt en aan de overheid overhandigt wanneer dat vereist is, kon worden beredeneerd dat in ieder geval sommige medewerkers toegang tot bestanden van gebruikers moesten hebben.
Bij het decrypten ging het overigens enkel om de ingebouwde versleuteling van Dropbox zelf; het bedrijf verwijdert geen eventuele encryptiemechanismen die gebruikers hebben aangebracht. Slechts een klein deel van de personeelsleden van Dropbox is overigens in staat om bestanden te decrypten en in te zien, stelt het bedrijf.
Deze opeenstapeling van beveiligingsproblemen roept bij veel gebruikers vragen op over de beveiliging van hun bestanden. Gebruikers klagen op het Dropbox-weblog massaal over het beveiligingsprobleem, maar ook over het feit dat er geen algemene e-mail naar gebruikers is gestuurd waarin het beveiligingsprobleem wordt toegelicht. Het feit dat het probleem binnen vijf minuten kon worden opgelost, geeft bovendien aan dat het waarschijnlijk om een simpel lek ging, terwijl Dropbox zichzelf juist als een veilige opslagdienst profileert. "We gebruiken dezelfde beveiligingsmethoden als banken en het leger", schrijft het bedrijf zelfs op een supportpagina.
Tot nu toe ging het de start-up voor de wind. Het bedrijf had in januari 2010 in totaal 4 miljoen gebruikers, waarvan een onbekend deel een betaald abonnement heeft. Waarschijnlijk heeft het bedrijf nu echter nog veel meer gebruikers. Dropbox zou inmiddels 1 tot 2 miljard dollar waard zijn.
Gepost op 21 juni 2011 om 10:48.
Lees het complete artikel via deze link.