Dropbox opent bepaalde geüploade bestanden, zo blijkt uit een test met de dienst HoneyDocs. Deze webgebaseerde dienst maakt een logbestand aan als een .doc bestand geopend wordt. Aan de hand van een onderzoek blijkt Dropbox in gezipte bestanden te kijken, zo schrijft een blogger op de site WNC InfoSec. Onduidelijk is of het bekijken gebeurt door medewerkers of geautomatiseerde processen.

In het experiment werden een aantal .zip bestanden met daarin door HoneyDocs gemonitorde .doc bestanden geüpload. HoneyDocs laat gebruikers een notificatie per SMS of e-mail instellen als het bestand door iets of iemand wordt geopend. Vervolgens kan op een kaart worden getoond waar de toegang tot het document is aangevraagd.

Deze terugkoppeling, die HoneyDocs zelf een ‘buzz’ noemt, is een HTTP Get-verzoek waarin unieke identifiers aan de zogenaamde ‘sting’ (de trigger) gekoppeld zijn. De data over waar en wanneer het bestand is geopend, wordt vervolgens via een SSL-verbinding over poort 443 verstuurd.

Signaal vanuit de cloud van Amazon

WNC InfoSec schrijft dat de eerste buzz tien minuten na het uploaden van het bestand vanaf een Amazon EC2-server in Seattle verstuurd werd. Dropbox gebruikt voor zijn eigen opslagdienst de EC2-cloudinfrastructuur van Amazon.

Van de verschillende bestandstypen die WNC InfoSec uploadde, werden alleen de ingepakte .doc bestanden bekeken, vanaf verschillende IP-adressen. Uit de door HoneyDocs verstuurde terugkoppeling bleek bovendien dat het document werd geopend met het open-source Officepakket LibreOffice. De blogger 'vintsurf' vermoedt dat het hierbij gaat om medewerkers van de dienst.

Volgens Dropbox gebeurt het openen door een geautomatiseerd back-end proces dat standaard toepast op bepaalde bestandstypen om de preview-functie te faciliteren, zoals PowerPoint, PDF en .txt bestanden.

Dropbox zegt dat er weinig reden tot ophef bestaat. De dienst maakt in zijn voorwaarden duidelijk dat slechts enkele medewerkers toegang hebben tot gebruikersdata. Medewerkers die wel toegang hebben, werken volgens de dienst voornamelijk bij de technische helpdesk en kijken daarbij naar de metadata van een bestand en niet naar de inhoud.

Dropbox kijkt alleen in-persoon mee in 'uitzonderlijke omstandigheden'

“We kennen strikte policies en toegangscontroles die het medewerkers verhinderen zich toegang te verschaffen, behalve in uitzonderlijke omstandigheden”, stelt Dropbox in zijn voorwaarden. Wat de Amerikaanse dienst onder “uitzonderlijke omstandigheden” verstaat, blijft onduidelijk.

Dropbox werd afgelopen zomer in de oorspronkelijke presentatieslides die klokkenluider Edward Snowden niet genoemd als één van de bedrijven die met de NSA meewerkte in hun PRISM-datamining, maar zou wel “snel toegevoegd worden”. In een reactie op die onthullingen zei Dropbox niets te weten van PRISM en er alles aan te doen om privacy van gebruikers ook in de toekomst te waarborgen.

Securityexperts adviseren gebruikers zo min mogelijk vertrouwelijke documenten aan clouddiensten als Dropbox te vertrouwen. Voor een betere privacy is het raadzaam om documenten voor het uploaden naar de cloud te versleutelen.