Dropbox was de eerste mainstream cloudopslag-service die beschikbaar was en heeft vele wegen geopend voor de sector. Helaas heeft het in de loop der jaren ook veel misstappen begaan, waarvan de Dropbox-inbreuk van 2012 de ergste was, de grootste die de sector heeft gezien. We hebben deze tijdlijn van Dropbox-beveiligingsproblemen samengesteld, zodat u zelf kunt beslissen of dit nog steeds de provider voor u is.

Als u na het lezen klaar bent om de overstap te maken, bekijk dan deze korte handleiding voor het verwijderen van uw Dropbox-account. En tot slot, terwijl u een alternatief voor Dropbox overweegt, delen we hieronder ook informatie over Proton Drive, dat een stuk veiliger is.

Dropbox-beveiligingsinbreuken: een tijdlijn

Dropbox werd opgericht in 2008 en heeft vanaf 2011 bijna elk jaar te maken gehad met een inbreuk, hoewel het tempo de laatste tijd iets is vertraagd. Toch is het belangrijk om bij de keuze voor een cloudopslag-service waaraan u uw bestanden toevertrouwt, naar hun reputatie te kijken.

2011: Dropbox-wachtwoordbug

Het eerste schandaal van Dropbox vond plaats in juni 2011, slechts drie jaar na de oprichting. Dankzij een bug accepteerde het Dropbox-systeem gedurende een periode van ongeveer vier uur elk wachtwoord(nieuw venster) dat u invoerde, wat betekende dat iedereen toegang kon krijgen tot elk account zolang ze de gebruikersnaam of e-mail kenden — een goed argument voor het gebruik van een veilige gebruikersnaam.

Er moet echter worden opgemerkt dat het voor het Dropbox-team slechts vijf minuten duurde om het probleem op te lossen zodra ze ervan op de hoogte werden gesteld. Gedurende die vier uur stonden alle Dropbox-accounts echter wagenwijd open. Het was puur geluk dat geen enkele aanvaller in die tijd de kwetsbaarheid ontdekte.

2012: Dropbox-inbreuk, 68 miljoen wachtwoorden gecompromitteerd

In juli 2012 rapporteerde(nieuw venster) Dropbox dat sommige gebruikersnamen en wachtwoorden van andere sites waren gestolen en vervolgens werden gebruikt om toegang te krijgen tot Dropbox (een goede reden om voor elke site afzonderlijk sterke wachtwoorden te maken). Dropbox reageerde door beveiligingsmaatregelen in te voeren om ongeautoriseerde toegang moeilijker te maken.

Tot zover alles goed, maar in 2016 kwam aan het licht dat Dropbox niet het hele verhaal had verteld(nieuw venster): onder de gehackten in 2012 bevond zich een Dropbox-medewerker die zijn bedrijfswachtwoord ook op LinkedIn had gebruikt. Dit gaf de aanvallers toegang tot de systemen van Dropbox.

Zodra het verhaal in 2016 naar buiten kwam — vier jaar na de initiële schending — werd al snel duidelijk dat ongeveer 68 miljoen gebruikers in gevaar waren gebracht, waardoor dit de grootste hack in de geschiedenis van cloudopslag was en een van de grootste in de internetgeschiedenis, punt uit. Bovendien was er het schandaal rondom Dropbox, een gigantisch bedrijf, dat er vier jaar over deed om de volledige omvang van de aangerichte schade te erkennen.

2013: PRISM-beschuldigingen

Toen Edward Snowden in 2013 aan de krant The Guardian onthulde dat de Amerikaanse overheid mensen over de hele wereld bespioneerde via het PRISM-programma, was Dropbox een van de namen(nieuw venster) die genoemd werden. Volgens Snowden werkte het bedrijf graag samen met de Amerikaanse autoriteiten en noemde hij hen een „wannabe PRISM-partner(nieuw venster)”.

Het is onduidelijk of Dropbox ooit heeft deelgenomen aan het PRISM-project — het bedrijf heeft dit altijd ontkend — maar het feit dat een cloudopslagdienst omschreven wordt als enthousiast om deel te nemen aan een massale surveillancecomplot, zou mensen waarschijnlijk aan het denken moeten zetten.

2017: Verrezen gegevens

In januari 2017 kwamen sommige Dropbox-gebruikers iets heel vreemds tegen: bestanden die ze hadden verwijderd, in sommige gevallen jaren geleden, verschenen plotseling weer in hun Dropbox-accounts. Na enig onderzoek vond Dropbox een bug(nieuw venster) die in de code was geslopen en die voorkwam dat bestanden en mappen permanent werden verwijderd.

Hoewel het op het eerste gezicht onschuldig lijkt, verwijderen we bestanden vaak met een reden. Het feit dat mogelijk gevoelige gegevens als een soort geest bleven voortbestaan, zelfs nadat ze vernietigd waren, is een zeer ernstig probleem. Wederom niet iets wat u van een bedrijf als Dropbox zou verwachten.

2018: Gegevens gedeeld zonder toestemming

In juli 2018 werd een interessante Harvard-studie(nieuw venster) gepubliceerd waarin de gezamenlijke inspanningen van duizenden mensen werden gebruikt als gegevenspunten om te bepalen hoe teams kunnen samenwerken. Boeiende materie met enkele zeer originele bevindingen. De gebruikte gegevens waren echter afkomstig van Dropbox, en de betrokken personen werd nooit gevraagd(nieuw venster) of deze op deze manier gebruikt mochten worden.

Hoewel de gebruikte gegevens geanonimiseerd waren voordat ze naar de onderzoekers werden verzonden (iets wat in de eerste versie van het artikel niet duidelijk was), is het nog steeds verontrustend dat een dienst waaraan u uw gegevens hebt toevertrouwd, deze zonder uw toestemming met derden heeft gedeeld, geanonimiseerd of niet.

Bovendien zou u kunnen aanvoeren dat anonieme gegevens helemaal niet zo anoniem zijn, aangezien er manieren zijn om iemands identiteit te reconstrueren, zelfs wanneer namen uit digitale dossiers zijn verwijderd.

2022: De terugkeer van de phishing-aanval

Het meest recente schandaal van Dropbox was in november 2022, toen opnieuw de inloggegevens van een Dropbox-medewerker werden gestolen(nieuw venster) tijdens een phishing-aanval.

Dit keer deden de aanvallers zich voor als GitHub, een site waar ontwikkelaars hun code opslaan. In dit geval gingen de dieven aan de haal met e-mails en wachtwoorden van zowel Dropbox-medewerkers als klanten. Er moet ook worden opgemerkt dat het GitHub zelf was die de aanval signaleerde, niet Dropbox.

In reactie daarop verklaarde Dropbox dat bestanden van klanten op geen enkel moment in gevaar zijn geweest, evenmin als de kernmodules, de onderdelen waaruit Dropbox is opgebouwd en die dus het hele systeem zouden kunnen bedreigen als ze worden blootgesteld. Dat is een geluk voor hen, maar het is een magere troost voor iedereen wiens e-mail door cybercriminelen is gebruikt.

Wat kunt u gebruiken in plaats van Dropbox?

Zoals de bovenstaande tijdlijn aantoont, zou Dropbox het veel beter kunnen doen dan het doet — en heeft gedaan. Hoewel het niet zo erg is als bij LastPass, hebben ze meer dan eens steken laten vallen. Vaak werden de omvang en de ernst van de incidenten niet door Dropbox gerapporteerd, wat wijst op een gebrek aan bewustzijn of transparantie. En vaker wel dan niet werden de schendingen veroorzaakt door gebrekkige beveiligingspraktijken.

In het bijzonder is het gebrek aan end-to-end versleuteling bij Dropbox verontrustend. Wanneer een cloudopslagdienst uw bestanden beschermt met end-to-end versleuteling, betekent dit dat uw gegevens op uw apparaat worden versleuteld voordat ze naar de cloud gaan. Een eventuele volgende schending van de cloudservers zou er dan niet toe leiden dat er gegevens worden blootgesteld. We gaan dieper in op deze en andere gegevens in ons artikel over Dropbox-beveiliging.

Met deze tekortkomingen van reguliere aanbieders van cloudopslag in het achterhoofd hebben we Proton Drive ontwikkeld, een veilig, end-to-end versleuteld alternatief dat hoogwaardige beveiliging en een prettige gebruikerservaring in één biedt. Zelfs als we uw gegevens zouden willen inzien — en dat willen we niet, want ons bedrijfsmodel is gericht op het beschermen van uw privacy — kunnen we er simpelweg geen toegang toe krijgen.

Deze belofte van privacy vormt de kern van Proton sinds onze oprichting en dankzij onze supporters hebben we dit kunnen doen zonder externe financiering. Onze enige verplichting is dus aan u, onze gemeenschap.

Als het gebruik van een veilige en besloten optie voor cloudopslag u goed in de oren klinkt, word dan gratis lid van Proton Drive en ervaar hoe een privéweb eruitziet.