Innovatie & Strategie

Dit is een bijdrage van Sophos
Privacy
WeTransfer

WeTransfer verstuurt gegevens naar de verkeerde mensen

WeTransfer heeft bestanden naar verkeerde gebruikers verstuurd.

26 juni 2019
Door: Sophos, partner

WeTransfer heeft bestanden naar verkeerde gebruikers verstuurd.

Afgelopen week heeft WeTransfer toegegeven dat zij bestanden naar verkeerde gebruikers heeft verstuurd. Het bedrijf, dat is opgericht in 2009, biedt gebruikers de mogelijkheid om grote bestanden gratis naar anderen toe te sturen. Het is een alternatief voor e-mail, waarbij gebruikers vaak tegen het probleem aanlopen dat men geen grote bestanden kan versturen als bijlage.WeTransfer heeft 50 miljoen gebruikers die bij elkaar elke maand ongeveer een miljard bestanden versturen. 

In het jaar 2013 werd WeTransfer winstgevend, doordat zij verdiensten halen uit advertenties. Naast de gratis variant, beschikt het platform ook over een 'Plus' service. Via dit pakket kunnen gebruikers hun bestanden beveiligingen met wachtwoorden. 

Vorige week heeft WeTransfer een statement uitgebracht dat een incident had plaatsgevonden op maandag 17 juni 2019. Het volgende statement heeft WeTransfer gedeeld:

e-mails supporting our services were sent to unintended e-mail addresses. We are currently informing potentially affected users and have informed the relevant authorities.

Daarna hebben zij gemeld dat ze de links hebben geblokkeerd en de gebruikers in kwestie hebben uitgelogd uit hun account.

Het is een overweging waard voor het bedrijf om end-to-end encryption toe te voegen aan haar service. Echter dienen zij dit wel vakkundig toe te passen. Het probleem met het beveiligen van bestanden met wachtwoorden is dat het symmetrische codering bevat. Hierbij gebruiken de verzender en ontvanger hetzelfde wachtwoord om toegang te krijgen tot het bestand. Het wachtwoord kan vervolgens niet veilig gedeeld worden, omdat een ongewenst persoon zowel het bestand als het bijbehorende wachtwoord dan kan onderscheppen. Daarom dient het wachtwoord via een ander kanaal gedeeld te worden, zoals sms of e-mail. Echter brengt dit ook weer zijn eigen beveiligingsproblemen met zich mee.

Een oplossing hiervan kan asymmetrische cryptografie zijn. Dit is complexer, maar ook veiliger. Het maakt gebruik van twee digitale sleutels voor elke gebruiker - een geheime sleutel voor één partij die nooit via een kanaal verzonden wordt en een openbare sleutel. De afzender van een bestand gebruikt de openbare sleutel van de ontvanger (die door iedereen kan worden bekeken) om deze te versleutelen. Alleen de persoonlijke sleutel van de ontvanger kan deze ontsleutelen. Zolang de ontvanger zijn privésleutel veilig bewaart, kunnen ze een bericht lezen dat is gecodeerd met hun openbare sleutel. Op deze manier is het niet mogelijk voor ongewenste problemen om de bestanden te onderscheppen.

Als een platform als WeTransfer gebruik wil maken van asymmetrische cryptografie, dan dienen zij ervoor te zorgen dat het makkelijk genoeg is om te gebruiken en dat al die complexiteit voor de gebruiker verborgen blijft. Het voordeel is, dat als de gegevens per ongeluk toch naar de verkeerde ontvangen gestuurd worden, deze geen toegang krijgen tot de bestanden. 

Op dit moment beveiligt WeTransfer de bestanden nog niet en daarom zullen dit soort fouten een groot probleem voor hen blijven.

2
Reacties
ICT DSW 09 juli 2019 13:13

Dan hebbie deze nog niet gesien:
"Op deze manier is het niet mogelijk voor ongewenste problemen om de bestanden te onderscheppen."

:-P

Martin Stevense 28 juni 2019 13:32

Beste auteur,
Het is wat flauw een bedrijf te beschuldigen van een fout, terwijl er in de kop van het bericht een knetterende taalfout staat. "WeTransfer verstuurd gegevens naar de verkeerde mensen". WeTransfer stak de hand in eigen boezem, ik hoop dat u als auteur dit ook doet en de fout corrigeert.
Groet, Martin

Reactie toevoegen