Zakelijke gebruikers kunnen Dropbox beter even niet gebruiken

Volgens beveiligingsexpert Derek Newton is Dropbox lek en kunnen zakelijke gebruikers van de zeer populaire cloud storage de dienst beter even niet gebruiken. Dropbox kan synchroniseren naar Windows, Mac, Linux en mobiele systemen zoals iOS en Android en bij Windows gebruikers zit een potentieel gevaar. Via de Windows client van Dropbox wordt een token gegenereerd, de host_id, die wordt opgeslagen op de lokale harde schijf en die ID is ook op andere systemen te gebruiken. Trojaanse Paarden zouden op die manier toegang kunnen krijgen tot je Dropbox bestanden. Je download de Dropbox host_id van een Windows gebruiker opent hem op bijvoorbeeld een Mac en je hebt toegang tot de bestanden van de Windows gebruiker zonder dat je daarvoor een wachtwoord nodig hebt.

De kans dat dit ook daadwerkelijk zal gebeuren bij gebruikers is erg klein maar echt veilig is Dropbox dus niet. Het wachtwoord wijzigen van Dropbox is geen optie omdat de host_id geldig blijft. Het is wel mogelijk om de rechten van de host_id in te trekken via www.dropbox.com/account Klik daarna via My Computers op Unlink.

Het is niet helemaal duidelijk of alleen de Windows client van Dropbox hier last van heeft en het zou heel goed kunnen dat andere host_id bestanden van Dropbox clients ook te misbruiken zijn. Newton raadt daarom zakelijke gebruikers aan voorlopig Dropbox niet te gebruiken en vooral in Gemeenteraden waar ze op dit moment massaal Dropbox op de iPad gebruiken Rob Jetten (D66):

“Dropbox is veiliger dan de database van de gemeente.”

Op dit moment dus even niet. De verwachting is dat de ontwikkelaars van Dropbox het hots_id probleem snel gaan oplossen.

Bron: Webwereld