Aanklacht: Dropbox kan bestanden inzien
Gepubliceerd: Maandag 16 mei 2011
Auteur: Tonie van Ringelestijn
Tegen opslagdienst Dropbox is bij telecomwaakhond FTC een aanklacht ingediend wegens misleiding van gebruikers rond beveiliging en versleuteling.
De communicatie van Dropbox zou in strijd zijn met de regelgeving, stelt beveiligingsonderzoeker Christopher Soghoian in een aanklacht (PDF) die eind vorige week bij de Amerikaanse telecomtoezichthouder FTC is ingediend. Dropbox zou volgens de aanklacht gebruikers ten onrechte hebben voorgespiegeld dat hun bestanden volledig waren versleuteld en dat Dropbox-medewerkers nimmer de inhoud van bestanden zouden kunnen zien.
Inhoud bestanden te zien
Soghoian publiceerde vorige maand informatie waaruit blijkt dat Dropbox wel degelijk de inhoud van bestanden kan zien, waardoor gebruikers doelwit zouden kunnen worden van opsporingsonderzoeken, malafide Dropbox-medewerkers of aanklachten door rechthebbenden. Soghoian heeft een jaar bij de FTC gewerkt.
Soghoian beweert dat Dropbox misleidende verklaringen aan consumenten heeft gegeven over zijn beveiliging. Dropbox ontkent de beweringen. Een woordvoerder liet Wired weten dat het over 'oude kwesties' gaat die het bedrijf in een blogbericht in april aan de kaak heeft gesteld. Dropbox blijkt echter in diezelfde maand stilletjes passages over beveiliging op zijn site te hebben aangepast. Zo werd het zinsdeel 'ontoegankelijk zonder je accountwachtwoord' geschrapt.
Opslagruimte besparen
Dropbox spaart opslagruimte uit door bestanden van gebruikers te analyseren en te voorzien van hashes. Als een gebruiker een bestand dat al op de servers staat wil uploaden, voegt Dropbox simpelweg het bestaande bestand toe aan de ruimte van die gebruiker. Dat bespaart bandbreedte en schijfruimte.
De encryptiesleutels zijn ook in handen van Dropbox en staan niet op de machines van gebruikers. Dat betekent dat Dropbox-medewerkers de inhoud van de opslagruimte van gebruikers zouden kunnen zien.
Verwarrende verklaringen
Dropbox stelt dat het bedrijf nooit het tegendeel heeft beweerd. "We hebben geschreven dat Dropbox-medewerkers nooit toegang kunnen krijgen tot gebruikersbestanden. Dat betekent dat we zulke toegang voorkomen op onze backend via toegangscontrole en streng beleid", aldus Dropbox in een verklaring tegenover Wired. Het bedrijf zegt niets over wie de encryptiesleutels heeft of welke beveiligingsmechanismen toegang door het personeel tegengaan. "We hebben nooit gezegd dat we geen toegang hebben tot de encryptiesleutels."
Intussen heeft Dropbox recent wel diverse passages op zijn site gewijzigd, waarbij de woorden 'medewerkers kunnen niet bij de bestanden' zijn gewijzigd in 'het is voor medewerkers verboden om de inhoud van bestanden te zien'. Volgens de FTC-aanklacht zijn Dropbox' verklaringen te verwarrend voor gebruikers en zelfs voor beveiligingsonderzoekers.
Opensource tool
Een Nederlandse programmeur heeft onlangs nog een open sourcetool gemaakt waarmee Dropbox-gebruikers naar hartelust bestanden kunnen delen, zónder hun Dropbox-folder open te zetten. Hij maakte ook gebruik van Dropbox deduplicatietechnologie met hashes. Dropbox reageerde door de tool te blokkeren.
Dropbox heeft meer dan 25 miljoen gebruikers. De dienst biedt standaard 2 GB gratis ruimte en heeft apps voor Windows, Mac, Linux, Android, iOS, Windows Phone 7 en BlackBerry.
