Hushmail verstrekt e-mail van gebruikers aan overheid VS
E-mail versleutelaar Hushmail heeft 12 cd's met versleutelde berichten van haar gebruikers ontsleuteld en aan de Amerikaanse overheid verstrekt. Chinese producenten van steroïden, dealers en ondergrondse laboratoria zouden volgens de Amerikaanse overheid via de versleutelde e-maildienst zaken doen. Hushmail biedt verschillende diensten aan, waarbij de berichten van haar gebruikers worden versleuteld, waardoor het bedrijf naar eigen zeggen de inhoud ook niet meer kan lezen.
Voorheen gebruikte Hushmail een Java applet om de encryptie te regelen, maar dat was niet gebruiksvriendelijk. Daarom is er sinds 2006 de optie om via https verbinding met de servers te maken, waarbij de encryptie van de berichten op de servers van Hushmail plaatsvindt. Dit betekent dat tijdelijk een kopie van de gebruiker z'n passphrase in handen van het bedrijf is.
Hushmail onderkent ook deze dreiging, en zou dit in het geval van het onderzoek naar de steroïde dealers gebruikt hebben om de passphrases te onderscheppen, en zo de berichten te ontsleutelen. Het bedrijf geeft in dit artikel een openhartige uitleg, waarin het ook ingaat op de potentiële gevaren voor de gebruikers van haar diensten. Toch benadrukt het dat het geen criminelen gaat beschermen, omdat gebruikers moeten toestemmen dat ze de dienst niet voor illegale activiteiten gebruiken.
Met dank aan Walter voor het melden van dit nieuws
bijvoorbeeld de passphrase doorstuurt dus is dat niet per
definitie veiliger.
Ook die java applet kan natuurlijk een backdoor bevatten die
bijvoorbeeld de passphrase doorstuurt dus is dat niet per
definitie veiliger.
Een extra key is een eenvoudigere manier.
Overigens wist ik niet dat ze al 'consessies' hadden gedaan
mbt de veiligheid vanwege gebruikersgemak.
maar dit schept wel jurisprudentie.
Als de (chinese) overheid nu een politieke dissident als
"crimineel" bestempelt heb je als hushmail geen poot om op
te staan, om de emailwisseling niet openbaar te maken.
Hi,hi...wist ik al jaren...Wakker worden mensen van
security.nl!
Tsja... wat is het toch een kudde brave schaapjes... ;)
Hi,hi...wist ik al jaren...Wakker worden mensen van
security.nl!
versleutelde berichten van haar gebruikers ontsleuteld en
aan de Amerikaanse overheid verstrekt heeft.
Daarom kan ik ook altijd zo lachen om dit soort goed
bedoelde onzin: http://www.security.nl/article/17289/1
Tip 2 :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
