Belgen bewijzen privacylacunes van File Hosting Services
File Hosting Services bieden gebrekkige privacy, aldus onderzoekers aan de KU Leuven en in Frankrijk.
File Hosting Services bieden gebrekkige privacy, aldus onderzoekers aan de KU Leuven en in Frankrijk.
File Hosting Services (FHS) – zoals RapidShare en EasyShare – bieden gebruikers de mogelijkheid (grote) bestanden te delen met een beperkte groep personen, naar keus van de eigenaar van het bestand. Hiervoor kent een FHS aan elk opgeladen bestand een unieke identifier toe, die aan gebruiker van de FHS wordt doorgestuurd als een geheime URI (Uniform Resource Identifier). Deze kan vervolgens de URI aanwenden om selectief het bestand te bezorgen aan derden.
Onderzoekers van de DistriNet onderzoeksgroep aan de KU Leuven, in samenwerking met het Institut Eurocom in Sophia-Antipolis (Frankrijk), hebben aangetoond dat de FHS’en vaak bijzonder voorspelbare URI’s genereren, zodat ongeoorloofde derden zich toegang tot de bestanden kunnen verschaffen. Zo worden bestanden vaak gewoonweg sequentiële identifiers toegekend, en zelfs willekeurig gegenereerde identifiers waren vaak nog te zwak (en kraakbaar). Maatregelen van de FHS’en om misbruik te voorkomen bleken voorts vaak het misbruik slechts te vertragen en niet te verhinderen.
De onderzoekers toonden voorts met behulp van ‘honeyfiles’ (lokdocumenten met ogenschijnlijk interessante info zoals ‘Paypal credentials’) aan dat malafide personen al op de hoogte zijn van deze lacunes inzake privacy en daar ook reëel misbruik van maken.
Interessant is dat de onderzoekers een reeks FHS’en op de hoogte brachten van die zwakheden en dat een aantal van hen inderdaad maatregelen namen. Hoewel… Een van hen bleek gewoonweg zijn ‘Terms of Service’ te hebben aangepast, met de mededeling dat de FHS de privacy van de bestanden niet kon garanderen.
Het onderzoek werd deels door de Belgsiche overheid, het IBBT, de KU Leuven en de Europese Unie gefinancierd. De onderzoekers publiceerden hun onderzoek in het kader van de ‘4th USENIX Workshop on Large-Scale Exploits and Emergent Threats’.
Fout opgemerkt of meer nieuws? Meld het hier