De populaire online opslag- en data-uitwisseldienst Dropbox is lek. Daarom is het, zeker voor zakelijke gebruikers, af te raden om de dienst te gebruiken.

Dat zegt beveiligingsexpert Derek Newton. Volgens hem zit het probleem in het automatisch synchroniseren van bestanden tussen verschillende apparaten en besturingssystemen. Dropbox kan synchroniseren naar Windows, Mac, Linux en mobiele systemen als iOS en Android.

Ongeautoriseerde toegang Newton ontdekte dat er een probleem is met hoe de Windows client de toegangsdata afhandelt. De gegevens hoeven maar één keer ingevoerd te worden om Dropbox toegang te geven tot de data op het account. Bij dat proces wordt een token gegenereerd, de host_id, die wordt opgeslagen op de lokale harde schijf. Omdat de host_id niet aan het systeem gekoppeld is kan hij volgens Newton doorgezet worden naar een ander systeem. Dat stelt Trojaanse Paarden (potentieel) in staat om ongeautoriseerde toegang te krijgen tot de Dropbox bestanden van een gebruiker. Dit kan doordat de host_id zich voor kan doen als het originele systeem, en wordt het niet geregistreerd als een nieuw systeem. Er hoeft dan niet opnieuw een wachtwoord worden ingevoerd om toegang te krijgen.

Wachtwoord veranderen helpt niet Het veranderen van het wachtwoord verhelpt dit probleem niet omdat de host_id geldig blijft na het veranderen. Wel is het mogelijk om de host_id handmatig de toegang te ontzeggen via www.dropbox.com/account en bij "My Computers" op "Unlink" te klikken bij systemen die mogelijk in gevaar zijn. Newton denkt dat het gat wordt veroorzaakt door een ontwerpprobleem in de Windows client, maar het zou ook kunnen zijn dat er ook andere clients op andere besturingssystemen met dezelfde problemen kampen, omdat ze dezelfde architectuur hebben. Daarom raadt Newton zakelijke gebruikers aan voorlopig af te zien van Dropbox-gebruik. Ook adviseert hij sterke encryptie te gebruiken voor gevoelige data. Daarnaast kunnen Dropbox-gebruikers het best oude systemen uit het synchronisatielijstje verwijderen.

Beveiliging kan beter Beveiligingssite The H. wijst erop dat cto Arash Ferdowsi van het bedrijf in een discussie op de Dropbox-fora zegt dat hij het niet eens is met Newton. Hij wijst erop dat als iemand toegang krijgt tot een systeem, zij het via een virus of fysiek, de strijd om de beveiliging voorbij is. Zodra dat gebeurt is alle data op een dergelijk apparaat kwetsbaar.

Wel geeft Fedowsi toe dat de beveiliging van de authenticatietoken kan worden verbeterd. Hij gaat nadenken over hoe dat het beste zou kunnen en de veranderingen doorvoeren in nieuwe Dropbox clients.