Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

Dropbox hat wohl die Nutzer belogen, was die Sicherheit betrifft

Dropbox ist ein beliebter Service mit rund 25 Millionen Nutzern, mit dessen Hilfe man Daten bequem in der Cloud speichern kann. Das ist praktisch, wenn man nicht alles auf der eigenen Festplatte ablegen möchte, und z.B. dezentral von verschiedenen Rechnern darauf zugreifen möchte. Ein weiteres Anwendungsszenario ist Filesharing, da man Ordner mit anderen Nutzern teilen kann. Bisher erklärte Dropbox immer, dass die Daten gut verschlüsselt sind und Dropbox-Mitarbeiter nicht sehen können, was die Nutzer speichern. Das war natürlich eine vertrauensbildende Maßnahme, wer möchte schon einen Dienst nutzen, wo man vielleicht sensible Daten auf eine Festplatte in der Clound hochlädt, und fremde Menschen darin rumstöbern können. Nun, das mit der Verschlüsselung war wohl eine Lüge, wie das Wired-Blog Threat-Level berichtet: Dropbox Lied to Users about Data Security, Complaint to FTC Alleges. Vor kurzem wurde die Webseite geändert.

Up until April 13, the site promised this: “Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents).”
Now the site says “Dropbox employees are prohibited from viewing the content of files you store in your Dropboxaccount, and are only permitted to view file metadata (e.g., file names and locations).”

Dropbox checkt wohl bei jedem Upload mit einem Hash, ob jemand anderes schonmal dieselbe Datei hochgeladen hat. Gleichzeitig liegen die Schlüssel bei Dropbox und nicht beim Nutzer. Der Wissenschaftler Christopher Soghoian hat jetzt eine Beschwerde bei der FCC eingereicht, wo er seine Analyse näher beschreibt (PDF) und Dropbox der Lüge bezichtigt.

Mittlerweile weist Dropbox daraufhin, dass man ab und an auch aus rechtlichen Gründen auf die Daten zugreifen muss:

Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so). But that’s the rare exception, not the rule. We have strict policy and technical access controls that prohibit employee access except in these rare circumstances. In addition, we employ a number of physical and electronic security measures to protect user information from unauthorized access.

Über die Backdoor-Funktion bei Dropbox mit dem neuen Feature des Behördenzugangs hatten wir bereits vor einem Monat berichtet. Was ist aber nun von einem Anbieter zu halten, der offensichtlich seine Kunden belogen hat? Auch wenn der Service noch so praktisch ist, kann man dem Anbieter noch vertrauen?

flattr this!

Don't be the product, buy the product!

Schweinderl