Medewerkers van de cloudopslagdienst Dropbox kunnen wel degelijk alle opgeslagen gegevens lezen, ondanks beloftes van het tegendeel.
Medewerkers van de cloudopslagdienst Dropbox kunnen wel degelijk alle opgeslagen gegevens lezen, ondanks beloftes van het tegendeel. Ook verbindingen met mobiele toestellen blijken niet bescherm te zijn.
“Zelfs onze eigen medewerkers kunnen de bestanden niet openen,” beloofde Dropbox, Amerikaanse leverancier van bestandsopslag in de cloud. In onze recente test van dit soort diensten (zie Data News nr. 21 van vorig jaar) schreven we die beloftes mooi over: “Alle gegevens worden beschermd met AES-256 encryptie en alle transmissies zijn SSL-beveiligd.”
Dat blijkt nu dus gelogen te zijn. De Amerikaanse doctorandus Christopher Soghoian toonde aan dat Dropbox wel degelijk de inhoud van alle files kan bekijken. De reden is technisch. Dropbox gebruikt namelijk een slim trucje om opslagruimte te besparen. Het geeft aan elk bestand een unieke code. Als twee gebruikers hetzelfde bestand in hun Dropbox plaatsen dan wordt maar één exemplaar fysiek bewaard. Minder opslagruimte betekent minder kosten en geeft Dropbox dus een competitief voordeel op concurrenten zoals Wuala. Maar Dropbox kan dat trucje natuurlijk alleen toepassen als het de bestanden helemaal kan lezen. Toegegeven, dat gebeurt door een computerprogramma, maar het zou net zo goed kunnen door een medewerker, een externe partij, justitie of een geheime dienst.
Dropbox heeft nu zijn voorwaarden aangepast. Vroeger beloofden die dat alle bestanden AES-256 geëncrypteerd zijn en ontoegankelijk zonder het wachtwoord van de gebruiker. Nu staat er gewoon dat “all files stored on Dropbox servers are encrypted (AES 256)”; over de ontoegankelijkheid wordt niet meer gerept. Het bedrijf geeft nu ook expliciet toe dat de gegevens wel degelijk zichtbaar zijn voor “een klein aantal van onze medewerkers die toegang moeten hebben tot de gegevens … wanneer ze daartoe wettelijk verplicht worden”.
Het houdt daar niet op. Dropbox beweerde ook dat de verbindingen met mobiele clients HTTPS-geëncrypteerd werden. Maar dat blijkt dus in de praktijk toch niet zo te zijn. De Federal Trade Commission (FTC) heeft een onderzoek geopend. Niet omwille van het overtreden van de privacy-regels, wel omdat Dropbox zich mogelijk schuldig maakte aan oneerlijke concurrentie…
