Na een recent lek van e-mailadressen, heeft Dropbox bijkomende securitymaatregelen genomen, zoals twee-factor authenticatie.
Na een recent lek van e-mailadressen, heeft Dropbox bijkomende securitymaatregelen genomen, zoals twee-factor authenticatie.
Gebruikers van de Dropbox cloudopslagdienst kloegen in de voorbije weken over spammail op adressen die uitsluitend voor Dropboxdiensten werden aangewend. Het betrof in het bijzonder gebruikers uit Duitsland, Groot-Brittannië en Nederland. Na eerdere security-flaters (zoals een voorval vorig jaar, wanneer gedurende 4 uur alle Dropbox accounts zonder paswoord toegankelijk waren), maakte het bedrijf nu snel werk van het onderzoek naar mogelijke problemen. Volgens het bedrijf werden de gebruikersgegevens gestolen op websites van derden, waarna met behulp van die informatie ook de account van een Dropbox werknemer werd gehackt (waar vervolgens een document met meer gebruikersgegevens werd ontvreemd).
Het bedrijf gaat nu twee-factor authenticatie mogelijkheden bieden (medio augustus volgens de planning), evenals middelen om verdachte activiteiten op te sporen. Zo komt er een pagina waarop alle actieve logins op een account worden getoond. Voorts stelt Dropbox dat het alle betrokken slachtoffers heeft gecontacteerd, maar dat het ook gebruikers met al te vaak voorkomende (of te oude) paswoorden zal contacteren. Het bedrijf adviseert tevens voor elke website waar wat wordt gevraagd een ander paswoord aan te wenden, en eventueel een beroep te doen op een paswoordbeheerpakket.
Hoewel Dropbox behoorlijk goed op deze specifieke situatie heeft gereageerd, lijkt het bedrijf nu wel het etiket van securitykneusje in het cloudgebeuren te dragen. Zo citeren securityverantwoordelijken blijkbaar vaak de Dropbox perikelen als security en de cloud in bedrijven aan bod komt, ondanks de nadruk die Dropbox op consumenten (en dus geen bedrijven) legt. Over het cloudgebeuren wordt gesteld dat het security zowel bevordert als bedreigt, en beide stellingen hebben zeer zeker een grond van waarheid. Duidelijk is evenwel dat bedrijven een geïntegreerde totaalaanpak van security – met oog voor zowel de eigen security als deze bij cloudleveranciers – moeten nastreven. Dat betreft zowel voldoende security waar en wanneer nodig, als het nastreven van zinvolle conformiteit aan wettelijke of reglementaire verplichtingen (compliance). Organisaties als de Cloud Security Alliance bieden hiervoor heel wat interessant materiaal.
