Veel online backup diensten zijn onveilig

Ah crap...
Ik zit bij een back-up aanbieder die ook gebruikt maakt van die software! ik zal even de naam weglaten.

Maar deze ontdekking baart mij grote zorgen over de veiligheid van mijn data.
Bij de vorige partij wie ik zat, had ik niet eens encryptie en werd alles gedaan via PLAIN FTP, en was door een fout van hun de data verwijderd tijdens een migratie... ik heb geen klachten over mijn huidige aanbieder maar dit is toch vervelend.

Ja nou poe poe, zo kunnen we er ook nog wel een paar verzinnen.

Wedden dat de fysieke beveiliging van het gebouw waar de computers staan met de originele files ook niet je van het is, m.a.w. gooi 'n raam in een jat pc of server met al die data die je zo graag wilt hebben, dit is in veel gevallen nog makkelijker dan een man in the middle atack, bij veel kantoren staat de server in de bezem kast.

Je kunt het digitale gedeelte nog zo goed beveiligen maar als het fysiek niet goed beveiligd is dan heeft het geen nut.

Bij AhSay kun je zover mij bekend alles via HTTPS laten verlopen. Daarnaast kun je een ander wachtwoord gebruiken voor de login en de encryptie van de data.
Dat mensen dit op de standaard instelling laten staan en hetzelfde wachtwoord gebruiken is de fout van de systeembeheerder, niet de softwareontwikkelaar.

@Eric: Inmiddels hebben die ook een update uitgegeven.
http://www.ahsay.com/en/general/ahsay_general_company_news.html

Dat is inderdaad een hotfix voor de login gegevens, maar de keuze om je data te beveiligen met een andere sleutel is altijd al aanwezig geweest.

@Eric, de gemiddelde gebruiker verwacht dat software, zeker backup software waar het gaat om de beveiliging van data, met de standaard instellingen veilig is. Het klopt inderdaad dat het al mogelijk was om een andere sleutel te gebruiken om de data zelf te beveiligen, maar dat is niet iets waar de gemiddelde gebruiker bij stil staat!

Het beveiligen van data is de taak van de systeembeheerder/automatiseerder, dat zijn niet de 'gemiddelde' gebruikers.
Voor consumenten past het in de discussie van de zorgplicht, maar AhSay profileert zich duidelijk in de B2B markt.

De aanbieders van online backup, die al dan niet gebruik maken van de software van AhSay, richten zich over het algemeen ook op particulieren, ZZP'ers en kleine MKB'ers. Deze doelgroepen hebben meestal geen systeembeheerder.

Het kan inderdaad aanbieders aangerekend worden dat zij hun gebruikers niet goed voorlichten, maar om nu dan specifiek AhSay als onveilig te bestempelen vind ik erg ver gaan.
Zeker voor aanbieders die AhSay gebruiken en wél hun gebruikers voorlichten of het zelf op de juiste manier implementeren.

Net gebeld voor mijn aanbieder, zijn er al mee bezig.
Maar AhSay vind het gebruik om alleen een complete hotfix te doen en geen aparte patches :|

In de test omgeving ging het ook fout omdat zij een wildcard SSL gebruiken, en daar was die software niet zo blij mee.
Maar ik horden dat er binnenkort een compleet nieuwe versie aankomt, met verschillende nieuwe dingen verbeteringen.

Memopal is constantly evolving its security model to assure a high level standard of data security.
In Memopals’ infrastructure, all the connection between client and server are SSL-encrypted using server-side certificate and every connection to a server having an un-trusted certificate is refused by the client to prevent the Man in the middle attack.
The authentication phase starts only after a valid SSL connection is established, so when a fake certificate is proposed to the client no username or password is sent from the client to the server.

Moreover, to install the Memopal client is necessary to gain a privileged user account, so nobody may have installed Memopal on your PC to steal your data.

Data are transferred encrypted from the client to the server, and are stored in an encrypted FS also distributed in chunks with a RAID-5 like policy.
Watching inside the MGFS (Memopal Global File System) it’s impossible to know who owned the backuped file and the original filename. So if someone takes a storage unit from the Memopal infrastructure, he never has access to a common sense information to disclose it.

The data structure contains the associations between the file and the owner is also encrypted and not accessible to the support people during the support phase.

In the current beta-release we are testing a client-side certificate validation to prevent possible server-side attack.

Memopal is online backup and online storage software that archives your files in real-time to a remote server. It doesn't matter how many times you change computers: You will always know where your data is. You can browse all your files from any internet location or internet-ready cell phone. You can share with friends and co-workers files that are too big to send through email.

Andrea Cecchetti
Chief Information Security Officer - Memopal

Sorry hoor maar volgens mij is spammen niet toegestaan ;)

Als provider ben je verantwoordelijk voor je datastroom en veiligheid. Op het moment dat je je data versleuteld is dat veilig genoeg om je data naar de andere kant te verplaatsen.

Edit: Adverteren? [email protected]