Nieuws
image

"Dropbox kijkt naar inhoud documenten"

vrijdag 13 september 2013, 11:36 door Redactie, 10 reacties

Een onderzoeker die een document in zijn Dropbox-account plaatste stond vreemd te kijken toen het bestand "naar huis belde", wat inhield dat het door Dropbox was geopend. Dat stelt "Vintsurf" van WNC InfoSec, een groep Amerikaanse security-professionals en onderzoekers.

De onderzoeker gebruikte HoneyDocs, een webapplicatie die documenten genereert die naar huis kunnen bellen. Dit wordt gedaan middels een uniek ingebed GET request, dat wordt geïnitieerd zodra het document wordt geopend. Vintsurf uploadde een wachtwoorddocument naar Dropbox en kreeg 10 minuten later een bericht terug dat het document was geopend.

Previewfunctie

Een herhaling van de test met hetzelfde document leverde geen meldingen op. Daarnaast gebeurde het alleen bij .doc-bestanden. Verder onderzoek wees uit dat de documenten met LibreOffice waren geopend. "Nu ben ik benieuwd of dit nog steeds een geautomatiseerd proces is of dat er menselijke interactie bij betrokken is", vraagt de onderzoeker zich af.

Het lijkt er echter op dat de onderzoeker tegen de previewfunctie van Dropbox is aangelopen. Begin dit jaar liet de populaire opslagdienst weten dat het previews van documenten op het web zou gaan ondersteunen. In plaats van het hele document te downloaden en openen, kunnen gebruikers via de browser direct een preview bekijken.

Reacties (10)
13-09-2013, 12:02 door Anoniem
Het is werkelijk overal mis op het internet. Niks vragen, gewoon doen. Geen enkel respect voor klanten. Een cynisch wereldje.
13-09-2013, 12:03 door Briolet
Dan is het blijkbaar geen slimme onderzoeker als hij niet snapt dat je een document eerst moet openen om er een preview van te kunnen maken.
13-09-2013, 12:54 door tarunjj
@Briolet: laten we hopen dat het dat is, een preview (geautomatiseerd) maken. Als het dat niet is heb ik goed gekozen door mijn wachtwoorden niet op Dropbox te zetten.
13-09-2013, 13:13 door Mysterio
Door tarunjj: @Briolet: laten we hopen dat het dat is, een preview (geautomatiseerd) maken. Als het dat niet is heb ik goed gekozen door mijn wachtwoorden niet op Dropbox te zetten.
Wachtwoorden moet je natuurlijk nooit zomaar ergens opslaan. Ik maak zelf gebruik van KeePass om mijn wachtwoorden te 'onthouden' want met het klimmen der jaren wil ik nog wel eens vergeten wat ik had ingesteld na de zoveelste wijziging.
13-09-2013, 13:13 door Anoniem
Het openen een verassing of niet, dat een dropbox (security?) systeem klaarblijkelijk succesvol outbound connecties over http(s) maakt, daar sta ik dan weer van te kijken...
13-09-2013, 14:21 door Sokolum
Het is gewoon not done om in documenten te kijken. Belachelijk. Snap absoluut niet wat een dienst daar te zoeken heeft. Mijn vertrouwen in Cloud Diensten voor Data opslag was al weg, dit verhaal bevestigd nogmaals mijn vermoeden, PRISM deed al een grote schep bovenop en nu dit weer. Jonges, succes met je klote Cloud....
13-09-2013, 15:52 door TheKeymaker
Goh, wat een verrassing. Overigens staat dit (niet letterlijk) gewoon in de gebruiksvoorwaarden van Dropbox. Maar ja, die leest niemand he.
13-09-2013, 18:35 door Anoniem
Door TheKeymaker: Goh, wat een verrassing. Overigens staat dit (niet letterlijk) gewoon in de gebruiksvoorwaarden van Dropbox. Maar ja, die leest niemand he.
Fijn dat ten minste één iemand door heeft waar dit over gaat... :[
+1 TheKeyMaker
13-09-2013, 22:13 door Jacob Lageveen
-1 voor cloud diensten +1 voor de sleutelmaker.
14-09-2013, 13:53 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure