Twee onderzoekers konden toegang verkrijgen tot accounts van Dropbox gebruikers, door een terugwaartse analyse van de Dropbox client.
In hun artikel ‘Looking inside the (Drop)box’ beschrijven Dhiru Kholia (o.a. Universiteit van British Columbia in Canada) en Przemyslaw Weggrzyn (Codepainters) hoe ze de Python code van een hele rist Dropbox clients (zowel onder Windows, Macos X als Linux) hebben geanalyseerd, ondanks de pogingen van Dropbox om die code ‘onleesbaar’ (obfuscated) te maken. Daardoor kregen ze toegang tot de API van Dropbox en konden ze toegang krijgen tot de gegevens over de gebruikers van Dropbox. Immers, de twee-factor authenticatie van Dropbox die na eerdere perikelen werd ingevoerd, is niet van toepassing in de API.
Dropbox counterde met de opmerking dat ze de bijdragen van deze onderzoekers waarderen, maar dat hun werk geen kwetsbaarheid in Dropbox betreft. Immers, “in de beschreven aangelegenheid, moet het toestel van de gebruiker al gekaapt zijn op een wijze die dat hele systeem, en niet alleen de Dropbox van de gebruiker, bloot staat aan aanvallen.” Een opmerking die door de onderzoekers wordt bevestigd, maar een dergelijke toestand in het systeem van de eindgebruiker behoort dan ook niet tot de uitzinderingen.
Python probleem
Het kraken van de wijze waarop Dropbox zijn in Python geschreven code beschermt, kan wellicht voor meer problemen zorgen. De beschreven methoden zijn volgens de onderzoekers immers ook goed bruikbaar op andere ‘versluierde’ (obfuscated) Python code. Ze roepen trouwens Dropbox op, om een open source versie van de Dropbox client te creëren.
In de VS werden overigens ook de wenkrauwen gefronst, omdat de ‘reverse engineering’ praktijken van de onderzoekers zelf mogelijks indruisen tegen de Amerikaanse ‘Digital Millennium Copyright Act’ (DMCA).
Blijft uiteindelijk nog een tip die geldt voor alle belangrijke data en bestanden (en dat zijn dus per definitie bedrijfsdocumenten) die aan een web-gesteund opslagbedrijf worden toevertrouwd:
‘Data in transit’ (tijdens het transport) en ‘data at rest’ (opgeslagen data) moeten geëncrypteerd zijn met behulp van sleutels die enkel in handen van de bona fide gebruikers zijn. Immers, zelfs als Dropbox en andere gelijkaardige dienstverleners stellen zelf de bestanden te versleutelen, kunnen malafide medewerkers nog steeds door misbruik van de sleutels zich toegang verschaffen, evenals personen die de account hebben gehackt.
