Dropbox Datenleck

[MarcusAgrippa]

Heise, heute:

"Dropbox bestätigt Datenleck" http://www.heise.de/newsticker/meldung/Dropbox-bestaetigt-Datenleck-1656798.html

daraus:
"Wer überprüfen will, ob es Fremdzugriffe auf den eigenen Dropbox-Account gab, kann dies mit dem neu eingerichteten Zugriffsverlauf in Erfahrung bringen. Darüber hinaus will der Speicheranbieter in einigen Wochen eine optionale Zwei-Faktor-Authentifizierung anbieten, mit der man seinen Cloud-Speicher zusätzlich absichern kann.

Wie diese genau umgesetzt werden kann, gab das Unternehmen noch nicht bekannt. Als Beispiel nannte Dropbox die Zusendung eines temporären Codes per SMS, den man bei jedem Login zusammen mit dem Passwort eingeben muss. Ein Angreifer müsste dann nicht nur die Zugangsdaten kennen, sondern auch Zugriff auf das Handy des Nutzers haben. "

 

[li8w8]

Ich will endlich eine profunde Antwort hören, wieso SkyDrive unsicher sein soll. Aber dazu kommen ja, und wen überrascht es schon, keine Gründe... :facepalm:... oh Mann!!!

mir reicht als gegenargument das - (okay chip ist nicht die top quelle) - skydrive von microsoft durchleuchtet wird und bei verdacht mitarbeiter Einsicht in die Daten bekommen!

weiß jemand wie es um adrive.com steht?

bin seit ca 2009 dort, hab 50gb aber bisher lief es rund. hab zumindest keine Datenklaus mitbekommen, oder hab ich shclecht gegoogelt?

 

[Helios]

Ich erwarte eigentlich in einem technischem Forum das zu bestimmten Themen Grundkenntnisse oder eine gewisse Sensibilität für bestimmte Themen vorhanden ist. Das scheint bei dir wohl nicht der Fall zu sein.

Zu Hotmail / Live, hierzu gehört bekanntlich auch der Dienst Skydrive wurde schon ein aktueller Artikel verlinkt. Ansonsten gilt nach wie vor mein geschriebenes. Wenn dir das nicht ausreichend ist, bitte selber recherchieren.

Nein, reicht mir absolut nicht aus. Wo sind bitte deine Beweise? Und über Grundkenntnisse sowie Sensibilität brauchen wir schon gar nicht diskutieren, die sind bei mir mit Sicherheit vorhanden!

 

[moronoxyd]

Ich erkenne da jedenfalls aktuell kein spezielles Dropbox Datenleck Problem bei diesem speziellen Fall.

Warum lag eine Tabelle mit Zugangsdaten von Dropbox-Usern in der Dropbox eines Mitarbeiters?
Wenn man schon mit Auszügen von Userdaten arbeitet, dann doch mit entsprechender Sorgfalt.
Und diese auf einem von außen zugänglichen Speicherplatz abzulegen ist definitiv eine Verletzung der Sorgfaltspflicht.

 

[MarcusAgrippa]

hab zumindest keine Datenklaus mitbekommen

Wie willst du denn Datenklau mitbekommen? Die werden dir dabei ja nicht weggenommen, sondern nur von Unbefugten eingesehen und ggf. kopiert

 

[ian_moone]

Sicherlich hat der Mitarbeiter seine Sorgfaltspflicht verletzt. Trotzdem macht es das System nicht unsicherer als das von MS/Google etc.. Überall können Mitarbeiter ein potentielles Datenleak verursachen.

 

[blafoo]

Dann shreib doch mal "profunde" Gründe warum Dropbox so viel unsicherer ist als Skydrive.

Schau mal hier im DropBox-Thread

Da hab ich vor einiger Zeit einen riesen langen Thread mit vielen Quellen geschrieben warum DropBox unsicherer ist als "andere"

Bin eh nich so der Cloud-Type Ich hoste alles selber großteilig Daher juckt mich das eh nicht )

Grüße

 

[Helios]

DropBox ist bekannt, dass immer wieder Sicherheitslücken auftreten (warum gibt es denn wöchentlich eine neue Version: siehe Changelog - lese dies regelmässig). Darum verwende ich diesen Dienst nicht. Bei SkyDrive steht Microsoft dahinter... also von der Unternehmergrösse gar nicht zu vergleichen. MS kann es sich nicht erlauben, teils so massive Bugs wie sie in DropBox auftreten, zu handhaben. Will aber nicht heissen, dass SkyDrive hundertprozentig sicher ist... behaupte ich auch nicht.

So... und nun gehe ich 'nen Kaffee trinken und eine Rauchen ... bis dann!

 

[moronoxyd]

Die Updates von DropBox beheben nicht nur Fehler, sondern erweitern teilweise auch die Funktionalität.

Außerdem kann man DropBox und SkyDrive nur bedingt vergleichen.
Bis vor Kurzem gab es ja nicht mal einen lokalen Client für SkyDrive.

Und schliesslich: Im entscheidenden Punkt haben DropBox und SkyDrive dieselben Probleme: Die Betreiber sind amerikanische Firmen, die nach amerikanischen Datenschutzregeln arbeiten und amerikanischen Gesetzen unterworfen sind (ich sage nur PATRIOT ACT).
Und da bei beiden die Daten unverschlüsselt übertragen werden und/oder der Schlüssel beim Betreiber liegt, kann die Sicherheit der Daten nicht annähernd gewährleistet werden.


Daher habe ich für mich beschlossen, Wuala zu nutzen: Schweizer Betreiber, Verschlüsselung findet auf dem Client statt und das Passwort verläßt (nach Angabe des Betreibers, hier muss man sich auf dessen Wort verlassen, richtig) nie den Client.

 

[Helios]

Daher habe ich für mich beschlossen, Wuala zu nutzen: Schweizer Betreiber, Verschlüsselung findet auf dem Client statt und das Passwort verläßt (nach Angabe des Betreibers, hier muss man sich auf dessen Wort verlassen, richtig) nie den Client.

Habe mir auch schon überlegt, Wuala zu nutzen. Werde später mal auf deren Homepage gehen und mir die Angebote anschauen.

Biste sicher, dass bei SkyDrive alles in Plain Text übertragen wird? Kannste mir da mal einen entsprechenden Info-Link raussuchen?

 

[ian_moone]

Will hier auch nicht weiter die Diskussion anfachen, wir drehen uns ein wenig im Kreis.

Meine Meinung ist nur das vertrauliche Daten nicht in die Cloud gehören, soweit sind wir uns wohl einig.

Ob nun MS wirklich sicherer/vertraulicher ist als Dropbox oder Google k.A. Der Changelog des Clients ist bei der Benutzung des Dienstes für mich auch eher zweitrangig, geschweige denn das ich irgendetwas gravierendes im Changelog gefunden habe. Auch die Größe des Unternehmens steigert mein Vetrauen da wenig.

 

[Mornsgrans]

Dropbox:
http://www.heise.de/security/meldung/Dropbox-bestaetigt-Datenleck-1656798.html
http://www.heise.de/security/meldun...icherheitsmaengel-bei-Dropbox-Co-1575310.html
http://www.heise.de/security/meldung/Sicherheitsluecke-im-Dropbox-Client-fuer-Android-1322839.html
http://www.heise.de/newsticker/meldung/Sicherheitsluecke-beim-Online-Speicher-Dropbox-1224899.html
http://www.heise.de/security/meldun...unden-lang-beliebige-Passwoerter-1264100.html

Skydrive (MS liest offenbar mit):
http://www.drwindows.de/content/457-skydrive-accountsperre-microsoft-nimmt-stellung.html bzw. https://netzpolitik.org/2012/skydri...ud-nach-agb-verletzungen-und-sperrt-accounts/

 

[moronoxyd]

Biste sicher, dass bei SkyDrive alles in Plain Text übertragen wird? Kannste mir da mal einen entsprechenden Info-Link raussuchen?

Bis vor kurzem gab es ja nur die Möglichkeit, per WebDAV auf Skydrive zuzugreifen. Dabei werden die Daten nur verschlüsselt übertragen, wenn man explizit https verwendet. Eine Verschlüsselung der Daten auf dem Server findet aus Kundensicht nicht statt. Kann sein, daß Microsoft die Daten verschlüsselt, aber bei Zugriff werden diese transparent entschlüsselt, so daß das wenig relevant ist.

 

[laptopheaven]

Warum lag eine Tabelle mit Zugangsdaten von Dropbox-Usern in der Dropbox eines Mitarbeiters?
Wenn man schon mit Auszügen von Userdaten arbeitet, dann doch mit entsprechender Sorgfalt.
Und diese auf einem von außen zugänglichen Speicherplatz abzulegen ist definitiv eine Verletzung der Sorgfaltspflicht.

Moin Moin moronoxyd,
Deine Aussagen unterstützen genau das, was ich selber schon geschrieben hatte:
Es ist ein "soziales" Problem des Mitarbeiters, aber eben nicht von der Dropbox Software. Jedenfalls nicht in diesem so geschilderten Fall.

Natürlich hat der Mitarbeiter fahrlässig gehandelt, als er vertrauliche Kundendaten unverschlüsselt in der Cloud abgelegt hat.
Wenn der Mitarbeiter aber ein anderes Passwort für seinen Account gewählt hätte, wäre dieser Datenklau so wie er hier stattgefunden hat, jedenfalls nicht passiert.

Ergo bleibe ich in diesem Fall dabei: Der Mitarbeiter war schuld allerdings eben nicht die Dropbox Software an sich.

Dieser Fall war jedenfalls kein leuchtendes Beispiel für irgendwelche Unzulänglichkeiten oder Backdoors in der Dropbox Software.
Ausschließen tue ich natürlich nicht, dass es evtl. andere Mittel gibt, doch an Daten eines Benutzers zu gelangen:
Jede Software die aus mehr als
BEGIN
END
besteht ist generell Fehleranfällig und angreifbar....

Es ist ja auch eine Tatsache, dass Datenklaus in Firmen meist auf die eigenen Mitarbeiter zurückzuführen sind, als auf irgendwelche IT Lecks von außen.

 

[Helios]

Danke Mornsgrans und moronoxyd... habe mir nun Wuala installiert. Auf den ersten Blick sieht es sehr gut aus. Mir gefällt auch die Tatsache, dass der Hoster in der Schweiz liegt und das Programm von der ETH Zürich entwickelt wurde.

Werde es später noch ausführlich testen.

 

[Mornsgrans]

habe mir nun Wuala installiert.

Für CrashPlan, TeamDrive und Wuala stellten die Fraunhofer-Beobachter Sicherheitslücken während der Datenübertragung fest. Alle drei Dienste verzichten auf SSL/TLS-Verschlüsselung. Stattdessen nutzen sie selbstgemachte und unveröffentlichte Protokolle – eine äußerst fehleranfällige Vorgehensweise

Quelle:whistling:

 

[Helios]

Das verdirbt mir den Nachmittag, Mornsgrans... wollte doch Kaffee trinken und Rauchen gehen ... aber danke für die Info!

Was rätst du mir? Kann ich mit Wuala leben oder sollte ich wirklich ausschliesslich SkyDrive benutzen?

Übrigens... der Upload ist ziemlich langsam, obwohl ich einen schnellen Upstream habe.

 

[crazyd]

Warum lag eine Tabelle mit Zugangsdaten von Dropbox-Usern in der Dropbox eines Mitarbeiters?

Wo hast du das denn her? Bitte Quelle angeben oder beim nächsten Mal vorsichtiger mit solchen Behauptungen umgehen!
Im Heise-Artikel ist nur davon die Rede. dass "sich die Mailadressen der Nutzer in einem 'Projektdokument'" befanden... Die entwendeten Passwörter stammen nicht aus dem DB-System sondern wurden bei einem Hack eines anderen Systems erbeutet und waren zufällig mit den Zugangsdaten von DB identisch!

 

[moronoxyd]

Wo hast du das denn her? Bitte Quelle angeben oder beim nächsten Mal vorsichtiger mit solchen Behauptungen umgehen!

Bitte mal tief durchatmen.

//edit: Und da ich den Rat auch selber manchmal beherzigen sollte, mache ich das doch einfach mal... und kürze und entschärfe meinen Beitrag:

Man meldet sich bei Dropbox mit Emailadresse und Passwort an. Die Email-Adressen sind also Teil der Zugangsdaten.

 

[crazyd]

"Zugangsdaten" impliziert, dass man damit Zugang zu einem System (was auch immer) erhält! Im vorliegenden Fall wurden aber keine Zugangsdaten entwendet, sondern lediglich E-Mail-Adressen, die nicht unbedingt Teil von DB-Zugangsdaten sein müssen.
Deine Aussage von oben verdreht die Tatsachen zu Ungunsten von DB, auch wenn du das scheinbar gar nicht so gemeint hast!

Imho haben alle Cloud-Anbieter ein potentielles Sicherheitsproblem! Ob sie nun DB, Microsoft oder Google heißen... der Vorstoß von DB, ein zweistufiges Authentifizierungsverfahren einzuführen, zeigt doch aber immerhin, dass sie aus ihren Fehlern gelernt haben!

 

[gru3n3r]

http://stadt-bremerhaven.de/dropbox-verschluesseln-macht-es-einfach/

Tja, eigentlich habt ihr alles gesagt. Am sichersten ist, man verschlüsselt lokal vor dem Hochladen.