Dropbox ist ein bekannter und verbreiteter Dienst, mit dem Benutzer Daten online speichern können. Nun hat Christopher Soghoian, Forscher an der Applied Cybersecurity Research University in Indiana, USA (Universität für angewandte Internetsicherheit), letztes Monat Aufsehen erregt. Er wies in seinem Blog (12.04.2011) nach, dass Dropbox Sicherheitsbehauptungen aufstellt, die es nicht halten kann.

Von der Webpage von Dropbox:

We use the same secure methods as banks and the military.

Was Dropbox nicht erwähnte, ist, dass Mitarbeiter von Dropbox die Daten entschlüsseln und lesen können. Bei anderen Diensten, wie SpiderOak and Wuala, ist dies jedoch nicht möglich.

Als dies bekannt wurde, änderte Dropbox die Aussage auf seiner Homepage von:

All files stored on Dropbox servers are encrypted (AES256) and are inaccessible without your account password.

zu

„All files stored on Dropbox servers are encrypted (AES 256).“

Technischer Hintergrund: Dropbox erstellt von jeder Datei, die hochgeladen wird, eine Prüfsumme. Wenn von zwei Benutzern die gleiche Datei hochgeladen wird (wird erkannt an der gleichen Prüfsumme), speichert Dropbox nur eine Datei und um Speicher zu sparen, wird für den zweiten Benutzer nur ein Link auf diese Datei gespeichert. Das Sicherheitsproblem ist, dass die Software bzw. die Mitarbeiter von Dropbox durch diese Technik Zugriff auf die Schlüssel haben müssen, um die Datei des einen Benutzers zu entschlüsseln und dem zweiten Benutzer zur Verfügung zu stellen. Damit ist es möglich, die Dateien, die nach „militärischem Standard“ gespeichert sind, z. B. an Konkurrenten aus dem eigenen Land, den Behörden auf Nachfrage oder unterschiedlichen Geheimdiensten zu übermitteln.

Jon Callas, ehemaliger und langjähriger Chefentwickler bei PGP: „I deleted my Dropbox account. It turns out that they lied and don’t actually encrypt your files and will hand them over to anyone who asks.“ (Technisch stimmt es so nicht ganz, da die Dateien ja verschlüsselt werden, aber von Dropbox entschlüsselt werden können.)

Vorher war auf der Homepage zu lesen:

Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents).

und danach:

Dropbox employees are prohibited from viewing the content of files you store in your Dropboxaccount, and are only permitted to view file metadata (e.g., file names and locations).

25 Millionen Benutzer verwenden Dropbox. Es wurde bereits eine Klage gegen Dropbox bei der Kartellbehörde eingereicht.

Vertrauliche Daten sind bei SpiderOak oder Wuala besser aufgehoben.

Artikel von wired.com, 13.05.2011: Dropbox Lied to Users About Data Security, Complaint to FTC Alleges