Data-uitwisseldienst Dropbox is lek

Dropbox

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (24)
2x Aanbevolen

Gepubliceerd: Dinsdag 12 april 2011
Auteur: Loek Essers

De populaire online opslag- en data-uitwisseldienst Dropbox is lek. Daarom is het, zeker voor zakelijke gebruikers, af te raden om de dienst te gebruiken.

Dat zegt beveiligingsexpert Derek Newton. Volgens hem zit het probleem in het automatisch synchroniseren van bestanden tussen verschillende apparaten en besturingssystemen. Dropbox kan synchroniseren naar Windows, Mac, Linux en mobiele systemen als iOS en Android.

Ongeautoriseerde toegang

Newton ontdekte dat er een probleem is met hoe de Windows client de toegangsdata afhandelt. De gegevens hoeven maar één keer ingevoerd te worden om Dropbox toegang te geven tot de data op het account. Bij dat proces wordt een token gegenereerd, de host_id, die wordt opgeslagen op de lokale harde schijf.

Omdat de host_id niet aan het systeem gekoppeld is kan hij volgens Newton doorgezet worden naar een ander systeem. Dat stelt Trojaanse Paarden (potentieel) in staat om ongeautoriseerde toegang te krijgen tot de Dropbox bestanden van een gebruiker. Dit kan doordat de host_id zich voor kan doen als het originele systeem, en wordt het niet geregistreerd als een nieuw systeem. Er hoeft dan niet opnieuw een wachtwoord worden ingevoerd om toegang te krijgen.

Wachtwoord veranderen helpt niet

Het veranderen van het wachtwoord verhelpt dit probleem niet omdat de host_id geldig blijft na het veranderen. Wel is het mogelijk om de host_id handmatig de toegang te ontzeggen via www.dropbox.com/account en bij "My Computers" op "Unlink" te klikken bij systemen die mogelijk in gevaar zijn.

Newton denkt dat het gat wordt veroorzaakt door een ontwerpprobleem in de Windows client, maar het zou ook kunnen zijn dat er ook andere clients op andere besturingssystemen met dezelfde problemen kampen, omdat ze dezelfde architectuur hebben. Daarom raadt Newton zakelijke gebruikers aan voorlopig af te zien van Dropbox-gebruik. Ook adviseert hij sterke encryptie te gebruiken voor gevoelige data. Daarnaast kunnen Dropbox-gebruikers het best oude systemen uit het synchronisatielijstje verwijderen.

Beveiliging kan beter

Beveiligingssite The H. wijst erop dat cto Arash Ferdowsi van het bedrijf in een discussie op de Dropbox-fora zegt dat hij het niet eens is met Newton. Hij wijst erop dat als iemand toegang krijgt tot een systeem, zij het via een virus of fysiek, de strijd om de beveiliging voorbij is. Zodra dat gebeurt is alle data op een dergelijk apparaat kwetsbaar.

Wel geeft Fedowsi toe dat de beveiliging van de authenticatietoken kan worden verbeterd. Hij gaat nadenken over hoe dat het beste zou kunnen en de veranderingen doorvoeren in nieuwe Dropbox clients.

Relevante whitepapers

Alle whitepapers >>
  • Categorieën:
  • Beveiliging

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Houdt grip op UC-uitdagingen

    Unified communications biedt vele voordelen, maar heeft ook specifieke uitdagingen en niet ieder project levert het verwachte ROI op.

    Downloaden
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)