Veel cloud-diensten draaien fysiek ergens in een serverboerderij in de V.S. De gegevens op die servers kunnen gevat worden door de Amerikaanse justitie en geheime diensten, al dan niet na een gerechtelijk bevel. Dat is natuurlijk allemaal theorie.
Maar als bedrijf wil je toch graag zeker weten dat een willekeurige Amerikaanse geheime dienst niet zomaar je bedrijfsgeheimen kan lezen. Alle leveranciers van cloud-diensten doen daarom erg hun best om ons gerust te stellen. Ze beloven onze privacy te bewaren en zeggen dat onze gegevens geëncrypteerd zijn. “Zelfs onze eigen medewerkers kunnen de bestanden niet openen,” belooft bijvoorbeeld Dropbox, Amerikaanse leverancier van bestandsopslag in de cloud.
In onze recente test van dit soort diensten voor de vakbladen Data News (België) en LAN Magazine (Nederland) schreven we die beloftes mooi over: “Alle gegevens worden beschermd met AES-256 encryptie en alle transmissies zijn SSL-beveiligd.”
Dat blijkt nu dus gelogen te zijn. De Amerikaanse doctorandus Christopher Soghoian toonde aan dat Dropbox wel degelijk de inhoud van alle files kan bekijken. De reden is technisch. Dropbox gebruikt namelijk een slim trucje om opslagruimte te besparen. Het geeft aan elk bestand een unieke code. Als twee gebruikers hetzelfde bestand in hun Dropbox plaatsen dan wordt maar één exemplaar fysiek bewaard. Minder opslagruimte betekent minder kosten en geeft Dropbox dus een competitief voordeel op concurrenten zoals Wuala. Maar Dropbox kan dat trucje natuurlijk alleen toepassen als het de bestanden helemaal kan lezen.
Toegegeven, dat gebeurt door een computerprogramma, maar het zou net zo goed kunnen door een medewerker, een externe partij, justitie of een geheime dienst. Dropbox heeft nu zijn voorwaarden aangepast. Vroeger beloofden die dat alle bestanden AES-256 geëncrypteerd zijn en ontoegankelijk zonder het wachtwoord van de gebruiker. Nu staat er gewoon dat “all files stored on Dropbox servers are encrypted (AES 256)”; over de ontoegankelijkheid wordt niet meer gerept.
Het bedrijf geeft nu ook expliciet toe dat de gegevens wel degelijk zichtbaar zijn voor “een klein aantal van onze medewerkers die toegang moeten hebben tot de gegevens … wanneer ze daartoe wettelijk verplicht worden”.
Het houdt daar niet op. Dropbox beweerde ook dat de verbindingen met mobiele clients HTTPS-geëncrypteerd werden. Maar dat blijkt dus in de praktijk toch niet zo te zijn. Dropbox is ongetwijfeld maar een voorbeeld van de vele. De les is snel geleerd: als cloud-gebruiker loont het wel degelijk om paranoïde te zijn. Gegevens waar anderen geen zaken mee hebben sla je best niet zomaar in de cloud op.