Dropbox is een van de grootste namen op het gebied van cloudopslag. Daarom zult u misschien verbaasd zijn te vernemen dat het niet de meest veilige versleutelingsalgoritmen gebruikt en uw privacy niet beschermt.
Hoewel Dropbox veilig is voor aanvallen van buitenaf, heeft het in het verleden te maken gehad met datalekken. Het maakt ook geen gebruik van end-to-end versleuteling en het bedrijf heeft op elk moment toegang tot uw bestanden. In dit artikel leggen we uit wat dit betekent en hoe u uw bestanden gratis in de cloud kunt beschermen zonder uw privacy op te geven.
Is Dropbox versleuteld?
Op het eerste gezicht biedt Dropbox solide beveiliging, zowel tijdens de overdracht van en naar uw apparaat als in rust op de servers. De beveiliging tijdens de overdracht wordt afgehandeld door TLS, een standaard maar krachtig versleutelingsprotocol dat door vrijwel alle online diensten wordt gebruikt. Wij gebruiken het bijvoorbeeld ook om uw internetverbinding te versleutelen terwijl u dit artikel leest.
Zodra de bestanden op de servers van Dropbox aankomen, worden ze bij ontvangst ontsleuteld en vervolgens opnieuw versleuteld, ditmaal met AES-256. Dit is een veilig versleutelingsalgoritme dat door overheden, legers en bedrijven over de hele wereld wordt gebruikt. Wij bij Proton gebruiken het zelf in al onze diensten.
Deze methode, waarbij bestanden tijdens de overdracht worden versleuteld, vervolgens ontsleuteld en daarna opnieuw worden versleuteld in rust, wordt door veel cloudopslagdiensten gebruikt om te beschermen tegen cybercriminelen. Het probleem is dat Dropbox een belangrijke bedreiging voor uw veiligheid en privacy over het hoofd ziet: zichzelf.
Hoe veilig is Dropbox echt?
Wanneer u over beveiliging spreekt, bedoelt u meestal dreigingen van buitenaf. Wanneer u een opslagruimte huurt, zet u er een slot op om ervoor te zorgen dat niemand naar binnen gaat en uw bezittingen steelt. U maakt zich geen zorgen dat uw oude meubels er uit zichzelf vandoor gaan.
Wanneer u echter over gegevens spreekt, moet u zich wel een beetje zorgen maken over wat er met uw informatie wordt gedaan door de mensen bij wie u het opslaat. Het maakt niet uit hoe goed de dienst u beschermt tegen aanvallen van buitenaf, het is niet echt veilig als de medewerkers van het bedrijf toegang hebben tot uw bestanden.
In het geval van de opslagruimte kunt u uw eigen sloten gebruiken, zodat alleen u de sleutels hebt. Bij digitale opslag kunt u gebruikmaken van end-to-end versleuteling (ook wel client-side versleuteling genoemd), een beveiligingsmethode waarbij bestanden automatisch op uw apparaat worden versleuteld voordat ze naar de server worden geüpload. Uw opslagprovider heeft geen sleutel van uw gegevens en de bestanden zijn ontoegankelijk voor de mensen die de dienst beheren.
Dropbox biedt op geen enkele wijze end-to-end versleuteling. Zoals het bedrijf duidelijk maakt op de website(nieuw venster), moet u een versleutelingsprogramma van derden gebruiken en de versleutelde bestanden naar Dropbox uploaden als u end-to-end versleuteling wilt gebruiken. Dit is onhandig en maakt veel kritieke functies, zoals het synchroniseren van bestanden, onmogelijk.
Dropbox heeft ongetwijfeld interne voorzorgsmaatregelen om te voorkomen dat medewerkers toegang krijgen tot gebruikersgegevens, maar dit vereist veel vertrouwen van de consument. Zelfs als Dropbox interne dreigingen succesvol vermijdt, bestaat ook de mogelijkheid van menselijke fouten. Een van de grootste lekken in de geschiedenis van cloudopslag was de Dropbox-hack in 2012(nieuw venster), waarbij een medewerker steeds hetzelfde wachtwoord gebruikte, werd gehackt en de wachtwoorden van 68 miljoen gebruikers in gevaar bracht.
U zou denken dat een medewerker van een technologiebedrijf wel beter weet dan wachtwoorden te hergebruiken, maar het toont aan dat menselijke fouten een belangrijke rol kunnen spelen, zelfs in hightech-scenario’s.
Privacyproblemen bij Dropbox
Naast beveiligingsrisico’s betekent het gebrek aan client-side versleuteling dat Dropbox niet privé is. Zoals Dropbox uitlegt in het privacybeleid(nieuw venster), deelt het uw bestanden, accountgegevens, contacten en andere persoonlijke gegevens met andere bedrijven, zoals Google, Amazon en OpenAI. Zelfs als u er geen bezwaar tegen hebt dat Dropbox over uw gegevens beschikt, wilt u misschien niet dat Dropbox deze over het internet verspreidt.
Bovendien is Dropbox een Amerikaans bedrijf dat moet voldoen aan verzoeken van de overheid om gegevens. Omdat Dropbox toegang heeft tot uw bestanden, kan het bedrijf die bestanden ook delen met de autoriteiten(nieuw venster).
Wat u kunt gebruiken in plaats van Dropbox
Dropbox was misschien wel de eerste cloudopslagdienst, maar de manier waarop het omgaat met klantgegevens is verouderd: het is niet nodig om af te zien van client-side versleuteling.
Bij Proton gebruiken we end-to-end versleuteling voor al onze diensten, inclusief onze cloudopslagdienst Proton Drive. Met Drive kunt u uw bestanden uploaden, synchroniseren, delen en zelfs bekijken in een voorbeeld, in de veilige wetenschap dat ze door niemand anders kunnen worden gelezen dan door u en degenen met wie u ze deelt — daarom noemen we het ook wel zero-access-versleuteling.
Met Docs in Proton Drive kunt u ook genieten van de vrijheid om samen met anderen documenten te maken en te bewerken, wetende dat uw inhoud standaard wordt beschermd door end-to-end versleuteling.
Onze code is open source en gecontroleerd door onafhankelijke beveiligingsexperts. Dit geeft onze gemeenschap het vertrouwen dat onze versleuteling werkt zoals we beweren, en u hoeft ons niet op ons woord te geloven.
Bovendien delen we uw gegevens met niemand. Ons bedrijfsmodel is gebaseerd op abonnementen voor meer opslagruimte en extra functies, niet op advertenties. Zelfs als we uw gegevens zouden willen delen, zouden we dat niet kunnen omdat we er geen toegang toe hebben. Onze end-to-end versleuteling is zelfs van toepassing op belangrijke metagegevens.
In tegenstelling tot Dropbox zijn wij gevestigd in Zwitserland, waar uw gegevens worden beschermd door enkele van de strengste privacywetten ter wereld. We zouden de weinige gegevens waarover we beschikken alleen overhandigen als een Zwitserse rechtbank daartoe opdracht geeft.
De reden dat we dit allemaal doen, is omdat we geloven dat het aanbieden van een goede, gebruiksvriendelijke opslagdienst niet genoeg is — we moeten ook bijdragen aan het creëren van een beter en meer privé internet. Dit is onze missie sinds de lancering in 2014, dankzij de steun van de gemeenschap, en dat is het vandaag de dag nog steeds. Als dat klinkt als iets waar u deel van wilt uitmaken, sluit u dan bij ons aan en maak vandaag nog een gratis Proton Drive-account aan.
