Skip to main content

Forscher: Dropbox falsche Sicherheitsmerkmale

Dropbox, ein Unternehmen zur Speicherung und Synchronisation von Cloud-Daten, wurde mit einer Klage bei der US-amerikanischen Federal Trade Commission beschuldigt, das Unternehmen habe die Verbraucher über das Niveau der Verschlüsselungssicherheit getäuscht.

In einem Schreiben an die FTC, Der Doktorand und Sicherheitsforscher der University of Indiana, Christopher Soghoian, behauptete, dass Dropbox zwar jede gespeicherte Datei verschlüsselt, dies aber von Mitarbeitern rückgängig gemacht werden könnte, was die Glaubwürdigkeit des Unternehmens untergrabe.

Dieses Design hat nicht nur "Best Practices" der Branche verfehlt Soghoian, es stellte auch ein ernstes Sicherheitsrisiko dar, dem das Unternehmen nicht gegenüber stand.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Wi ndows PC]

"Dropbox hat immer wieder irreführende Aussagen gemacht, inwieweit die Daten geschützt und verschlüsselt werden", schrieb Soghoian. "Dropbox-Kunden sehen sich einem erhöhten Risiko von Datenpannen und Identitätsdiebstahl gegenüber, weil ihre Daten nicht verschlüsselt sind."

Nach Ansicht von Sioghan hat Dropbox seine Nutzer betrogen, was gegen Section 5 des Federal Trade Commission Act verstößt Dropbox über das Verschlüsselungsproblem vor einigen Wochen mit einer Reihe von Behauptungen von Soghoian und anderen über die Art, wie das Unternehmen Daten verarbeitet. Als Reaktion darauf hat Dropbox am 21. April klargestellt, dass der Dienst "Bedingungen" den Zugriff der Polizei auf den Inhalt von Dateien ermöglichen soll, wenn sie dazu aufgefordert werden.

"Wenn wir Ihre Dropbox-Dateien einer Strafverfolgungsbehörde zur Verfügung stellen Wie oben dargelegt, werden wir die Verschlüsselung von Dropbox aus den Dateien entfernen, bevor wir sie der Strafverfolgung zur Verfügung stellen, "lesen Sie die neuen Begriffe.

" Nur damit Sie wissen, wir bekommen nicht viele dieser Anfragen - etwa eine Ein Monat im letzten Jahr für unsere mehr als 25 Millionen Nutzer. Das sind weniger als einer von einer Million Accounts ", sagte das Unternehmen in einem nachfolgenden Blogpost.

Für Nutzer wie Soghoian macht dies die Verwendung von Verschlüsselung unumgänglich. Wenn die Datei sicher ist, während sie verschlüsselt ist, aber diese Verschlüsselung jederzeit entfernt werden kann, in welchem ​​Sinne ist die Datei überhaupt sicher?

Der Kern der Dropbox-Kontroverse ist, dass sie die Dateien der Benutzer notwendigerweise verschlüsselt speichert die Schlüssel, die für diese Sicherheit verwendet werden. Beim Speichern dieser Schlüssel hat es die Fähigkeit, Dateien zu entschlüsseln. Eine Lösung, die von Dropbox empfohlen wird, besteht darin, dass Benutzer Dateien vor dem Hochladen verschlüsseln, aber dies hat ihren Preis. Benutzer können z. B. Dateien zwischen Desktop-PCs und Smartphones synchronisieren, aber nicht mehr öffnen, ohne ein dediziertes Dienstprogramm zu laden, das auf diesem Gerät verfügbar oder nicht verfügbar ist.

Die Dropbox-Antwort darauf ist, dass der Dienst nicht beabsichtigt ist ein vollständig sicheres Datei-Repository, lediglich als ein Service, der sicherer ist als herkömmliche Methoden, Daten auf unverschlüsselten USB-Sticks zu transportieren.

"Wir haben uns darauf konzentriert, den Benutzern zu helfen, die häufigsten Bedrohungen zu vermeiden: keine aktuellen Backups keine Backups, versehentliches Löschen oder Überschreiben von Dateien, Verlust von USB-Laufwerken mit vertraulichen Informationen, Hinterlassen von Dateien auf dem falschen Computer usw. ", sagte Dropbox im Blog-Post.

Dropbox reagierte auf Soghoians FTC-Brief. "Wir glauben, dass diese Beschwerde [Soghoians] unbegründet ist und Probleme aufwirft, die in unserem Blogpost am 21. April 2011 angesprochen wurden. Millionen von Menschen sind jeden Tag auf unseren Service angewiesen und wir arbeiten hart daran, ihre Daten sicher und geschützt zu halten privat ", sagte Dropbox-Sprecherin Julie Supan in einer Erklärung.

Die MIT-Studenten Drew Houston und Arash Ferdowsi gründeten Dropbox im Jahr 2007, um eine Alternative zum E-Mail-Versand von Dateien für sich selbst zu finden Computer. Mit 25 Millionen Nutzern weltweit ermöglicht der kostenlose Dienst des Unternehmens Nutzern, bis zu 2 GB Dokumente, Bilder und Videos zentral zu speichern und automatisch mit jedem Gerät zu synchronisieren, auf dem der Benutzer die Client-Software des Unternehmens lädt.