Dropbox: Zugriff ohne Passwort war möglich
von caschy | 27 Kommentare
Tja, wenn Dienste richtig groß sind, dann werden sie stärker beobachtet – demzufolge kommen auch Pannen unter Umständen schneller ans Licht. Gestern handelte es sich (mal wieder) um Dropbox. Durch ein Update seitens Dropbox konnten sich Benutzer ohne korrektes Passwort in einen Account einloggen. Dieser Fehler betraf ca. 1% aller Benutzer. Laut Dropbox wurde der Fehler 5 Minuten nach Bekanntwerden wieder behoben. Die Zeitspanne bis zum Bekanntwerden war allerdings länger.
Jetzt werden Logs ausgewertet, um eventuell betroffene Nutzer zu informieren.Tja – so ist das. Und deshalb weise ich ich noch einmal (wichtig, wichtig!) auf einen Beitrag von mir hin, den ich oft herunter predige: wenn schon Cloud, dann das Verschlüsseln von sensiblen Geschichten. Keine unverschlüsselten Daten in der Cloud, die ihr nicht auch Oma oder Opa zeigen würdet. Also, falls noch nicht geschehen: Dropbox (bzw. die enthaltenen Daten) mit TrueCrypt verschlüsseln!
Wird geladen ...
Egal, ob großer oder kleiner Dienst, bei der Dienstleistung, die Dropbox anbietet, darf so etwas nicht passieren. Nach der letzten Aktion „wir können nicht auf eure Daten zugreifen, keine Sorge“ kann ich mich nicht entscheiden, welche der beiden Pannen den größeren Vertrauensverlust bedeutet.
also ich find ein dienst wie dropbox muss bald einfach selbst die lokale verschlüsselung mitführen, wenn man dann einen ordner mit jmd teilen will, muss der jenige bei sich einfach einen key code eingeben um die daten sehen zu können. kanns denn so schwer sein.
Ist irgend jemandem bekannt, wie man Daten bei Sugarsync verschlüsseln kann? Truecrypt funktioniert hier nicht, da Sugarsync immer den ganzen Ordner synchronisiert, bzw. nicht erkennt, dass sich Daten innerhalb des Containers verändert haben…
Sobald Wuala den Delta-Upload einführt (was wohl nächsten Monat mit dem nächsten Update passieren sollte), werde ich wohl meinen Dropbox Account semi-retiren und nur noch für sehr temporäre Daten nutzen, die man mal schnell mit jemandem teilen will. Alles wichtige (und ja, ich nutze heute schon TrueCrypt in der Dropbox) werde ich dann Wuala anvertrauen; zumal der Support und Entwicklungsprozess sich dort sehr viel ‚offener‘ anfühlt. Ist zwar wahrscheinlich auch der schieren Größe von Dropbox geschuldet… aber trotzdem. Wenn Dropbox sein letztes Alleinstellungsmerkmal verliert, muss dieser laxe Umgang mit Security nicht mehr sein; es war wohl auch ganz einfach gar nicht dahingehend designed, sicher zu sein.
Würde mich freuen, wenn der eine oder andere mal in diesem Zusammenhang einen Blick auf meine eigene Freeware wirft.
Enomis erzeugt passwortgeschützte 7-Zip/RAR Archive von Dateien oder Ordnern durch einfaches Ziehen auf ein Desktopsymbol. Die Archive lassen sich mit Mustern wie Zeitstempel oder Version im Dateinamen und auch direkt bei Cloud-Speicherdiensten wie Dropbox ablegen.
Entwickelt wurde Enomis in erster Linie für eine unkomplizierte, schnelle, komprimierte und sichere Ablage von Dateien oder Ordnern in Cloud-Speicherdiensten wie Dropbox, Wuala und ähnliche – Enomis läßt sich jedoch auch gänzlich ohne diese Dienste verwenden. Hierzu sind Dateien oder Ordner lediglich aus dem Dateimanager auf das Enomis-Symbol auf dem Desktop zu ziehen, oder alternativ über einen Rechtsklick auf eine Datei oder Ordner im Dateimanager.
Enomis ist portabel, da 7-Zip bereits im Programm integriert ist. Es werden keine Treiber, wie bei anderen Lösungen, im System installiert.
Weitere Eigenschaften
– Versionierte Ablage von Archiven
– Archive wahlweise mit Datum, Zeit, Zufallszahl oder Version im Dateinamen
– Verschlüsselung der Archive mit unterschiedlichen Passwörtern oder einem Standardpasswort
– Benutzerdefinierte Einstellungen für 7-Zip und RAR
– Ausführen einer Anwendung vor und nach dem Erstellen des Archiv
http://enomis.qnea.de/
„Egal, ob großer oder kleiner Dienst, bei der Dienstleistung, die Dropbox anbietet, darf so etwas nicht passieren.“
Jaja – sowas geht einem immer ganz locker über die Lippen. Sowas passiert halt. Seht doch selber zu das ihr auf der sicheren Seite steht. Weichspüler-Gesellschaft – immmer sind die anderen Schuld. Ich sag da nur „Survival of the fittest“ 😉
„Jaja – sowas geht einem immer ganz locker über die Lippen. Sowas passiert halt. Seht doch selber zu das ihr auf der sicheren Seite steht. Weichspüler-Gesellschaft – immmer sind die anderen Schuld. Ich sag da nur “Survival of the fittest” “
Wenn ich Dropbox dafür bezahle, meine Daten anderen nicht zugänglich zu machen – bin ich selber schuld, wenn Sie dies nicht einhalten können? Ob man einen weiteren Layer an Security dahinter schaltet hin- oder her… so ein Faux Pas darf einem solchen Service nicht passieren (und das über vier Stunden und von einem User gemeldet).
Wenn ich meinen Wagen das nächste Mal vom Reifenwechseln abhole und mir das rechte Vorderrad auf der Autobahn flöten geht fünf Minuten später – bin ich selber Schuld? Natürlich hätte ich alle Reifen noch einmal nachziehen und kontrollieren können – nur ist der Normalzustand, dass man erst einmal davon ausgeht, dass ein bezahlter Service ordnungsgemäß ausgeführt wird. Alles andere ist nicht akzeptabel, muss geändert oder in letzter Instanz bei einem anderen Dienstleister gemacht werden.
Wobei ich bei dem Datenleck von Dropbox nicht einmal zwischen paid und free unterscheiden möchte; das geht nicht.
caschy, alter hühnerhund. dein dropbox-truecrypt-artikel ist schon lange überholt. bereits vor monaten hat dropbox truecrypt-support integriert und synct nicht mehr komplette container. da muss man nix mehr anpassen.
http://blog.dropbox.com/?p=581
Und Wuala lacht sich natürlich ins Fäustchen – mit Recht:
http://www.wuala.com/blog/2011/06/cloud-security.html
Und ausgerechnet heute bekomme ich Werbung von Dropbox doch meinen Speicherplatz kostenpflichtig zu erweitern 😀
@Ben: Passwortgeschützter Login wird vielleicht zukünftig nur noch gegen Aufpreis möglich sein? 😀
Wenn ich was bei mir zu Hause habe, kann ich darauf aufpassen. Wenn ich das im Keller von Caschy hätte, muß ich mich darauf erlassen, das ER drauf aufpaßt.
Was bei mir und dem Caschy höchstwahrscheinlich funktioniert, das sieht aber ganz anders aus, wenn VIELE Leute VIELE Sachen in Kellern von Leuten haben, die sie garnicht kennen:
Das Risiko steigt. Punkt. Selbst wenn alles 5-fach überschlüsselt ist: das kann dann vielleicht keiner auslesen, aber man kommt vielleich selber nicht mehr ran.
Wenn ich alles mögliche mit mir selber und anderen ständig sharen will, dann muß ich das aus der Hand geben – anders geht das nicht. Also: essentiel wichtiges, WIRKLICH wichtiges – vielleicht würd ich das dem Caschy persönlich anvertrauen, aber nie so einer Dropbox. Egal, wie „truecryptet“ das ist.
@ DonHæberle: Vorstellen kann man sich so einiges. Ich habe es mir Gott sei Dank schnell wieder abgewöhnt bei Dropbox all zu vertrauliche Dinge zu speichern. Jetzt liegt da nur noch Kram der eh schon öffentlich ist oder demnächst irgendwann explizit veröffentlicht wird…
Also ich habe schon Post von Dropbox wegen Zugriffs in der fraglichen Zeit bekommen :). Ich hatte zum Glück nie auf deren Sicherheit vertraut. Waren nur Daten drauf die sowieso für die Öffentlichkeit bestimmt waren.
heutzutage kann man auch niemanden mehr trauen…
MIR kann man vertrauen: schick mir eine Summe XXXX mit der Maßgabe: „darfst du NUR für PC-Sachen ausgeben!“
Das mach ich 150%-tig! Es gibt feine 30″ Eizo´s…
…und die schrägen CHIP-Vögel haben’s auch noch mit der Oddograffie:
„man würde fiederhaft die Logfiles durchforsten“ 🙂
Es gibt Fehler, die dürfen nicht passieren. Bei einem Elektriker sagt man auch nicht: „Oh, durch das blanke Kabel ist jemand gestorben. Shit happens.“
„Shit happens“ passt bei vielen Fehlern, aber nicht bei diesem Ausmaß und bei dieser Fahrlässigkeit. Wenn es ein Hack gewesen wäre: Von mir aus. Aber ein solcher *Fehler* (!=Angriff)? LIVE? Ich bin daher etwas entsetzt, dass so viele Kommentare der Art „Fehler können passieren.“ im Dropbox-Blog aufschlagen. Sorry, jeder billige Unit-Test muss das abfangen. Ergo haben die keinen passenden Unit-Test. Und das ist fahrlässig, wenn man so viele sensible Daten hat. Ich verlange das nicht bei Foobar-Forum-XYZ, aber bei einem Cloud-Anbieter.
Unabhängig davon, es bei den Regeln:
a) Wenn Cloud, dann veschlüsselt.
b) Wenn man keine eigene Verschlüsselungsschicht einziehen kann (weil einem z.B. das Fachwissen fehlt) sollte man keinen Cloud-Dienst nutzen, der keine einfache, eingebaute Client-Side-Encryption anbietet. Sollte eine solche angeboten werden: Einen Fachmann so gut wie möglich bewerten lassen, ob Angaben des Anbieters Sinn ergeben und dann erst mit der Nutzung anfangen.
PS: Für die Linux-User unter uns: Symlinks in ein Git-Repo + Startup/Sutdown/Cron-Skript tut es wunderbar für z.B. die eigenen Konfigurationsdateien und Dokumente. Ist zudem viel schneller als Dropbox. Und für große Daten: Mei… macht es halt wie früher: Fileserver aufstellen und ein VPN und/oder SSH zum Server verlegen. Und gut ist.
Gruß
Andreas
Mich würde Euere Meinung interssieren: Haltet ihr es für sicher, Keepass-Files in der Dropbox aufzubewahren? Bisher bin ich davon ausgegangen, dass mit Keepass verschlüsselte Daten halbwegs sicher und mit aktzeatablem Aufwand nicht zu knacken sind.
Unterliege ich da einer Illusion oder wie seht ihr das?
>Dieser Fehler betraf ca. 1% aller Benutzer.
Falsch: Der Fehler, also die Vulnerabilität, betraf natürlich ALLE(!) Dropbox-Benutzer und nicht nur die 1 %(!), die sich im fraglichen Zeitraum auch tatsächlich(!) eingeloggt(!) haben.
>Laut Dropbox wurde der Fehler 5 Minuten nach
>Bekanntwerden wieder behoben. Die Zeitspanne
>bis zum Bekanntwerden war allerdings länger.
Du solltest in die PR- oder Politbranche wechseln – sieht Steffen Seibert nicht schon etwas müde aus, das ist DIE Gelegenheit?! –> Die entscheidende Info ist natürlich nicht die Nebelkerze des 5-Minuten-Fixes („Uuuuiiii, sind die fix mit Fixes!!!“), sondern dass die Vulnerabilität fast 4 Stunden unentdeckt bestehen konnte („Upps…, da sitzen ja echte Dumpfbacken…“).
Also bitte künftig journalistisch etwas präziser, zumal man das alles ganz problemlos aus der Dropbox-eigenen PM korrekt hätte abschreiben können…
Cheers,
Chantal