WeTransfer verstuurt bestanden naar de verkeerde personen
Afgelopen week heeft WeTransfer toegegeven dat zij bestanden naar verkeerde gebruikers heeft verstuurd. Het bedrijf, dat is opgericht in 2009, biedt gebruikers de mogelijkheid om grote bestanden gratis naar anderen toe te sturen. Het is een alternatief voor e-mail, waarbij gebruikers vaak tegen het probleem aanlopen dat men geen grote bestanden kan versturen als bijlage. WeTransfer heeft 50 miljoen gebruikers die bij elkaar elke maand ongeveer een miljard bestanden versturen.
In het jaar 2013 werd WeTransfer winstgevend, doordat zij verdiensten halen uit advertenties. Naast de gratis variant, beschikt het platform ook over een ‘Plus’ service. Via dit pakket kunnen gebruikers hun bestanden beveiligingen met wachtwoorden.
Vorige week heeft WeTransfer een statement uitgebracht dat een incident had plaatsgevonden op maandag 17 juni 2019. Het volgende statement heeft WeTransfer gedeeld:
e-mails supporting our services were sent to unintended e-mail addresses. We are currently informing potentially affected users and have informed the relevant authorities.
Daarna hebben zij gemeld dat ze de links hebben geblokkeerd en de gebruikers in kwestie hebben uitgelogd uit hun account.
Het is een overweging waard voor het bedrijf om end-to-end encryption toe te voegen aan haar service. Echter dienen zij dit wel vakkundig toe te passen. Het probleem met het beveiligen van bestanden met wachtwoorden is dat het symmetrische codering bevat. Hierbij gebruiken de verzender en ontvanger hetzelfde wachtwoord om toegang te krijgen tot het bestand. Het wachtwoord kan vervolgens niet veilig gedeeld worden, omdat een ongewenst persoon zowel het bestand als het bijbehorende wachtwoord kan onderscheppen. Daarom dient het wachtwoord via een ander kanaal gedeeld te worden, zoals sms of e-mail. Echter brengt dit ook weer zijn eigen beveiligingsproblemen met zich mee.
Een oplossing hiervan kan asymmetrische cryptografie zijn. Dit is complexer, maar ook veiliger. Het maakt gebruik van twee digitale sleutels voor elke gebruiker – een geheime sleutel voor één partij die nooit via een kanaal verzonden wordt en een openbare sleutel. De afzender van een bestand gebruikt de openbare sleutel van de ontvanger (die door iedereen kan worden bekeken) om deze te versleutelen. Alleen de persoonlijke sleutel van de ontvanger kan deze ontsleutelen. Zolang de ontvanger zijn privésleutel veilig bewaart, kunnen ze een bericht lezen dat is gecodeerd met hun openbare sleutel. Op deze manier is het niet mogelijk dat ongewenste personen bestanden onderscheppen.
Als een platform als WeTransfer gebruik wil maken van asymmetrische cryptografie, dan dienen zij ervoor te zorgen dat het makkelijk genoeg is om te gebruiken en dat al die complexiteit voor de gebruiker verborgen blijft. Het voordeel is, dat als de gegevens per ongeluk toch naar de verkeerde ontvanger gestuurd worden, deze geen toegang krijgen tot de bestanden.
Op dit moment beveiligt WeTransfer de bestanden nog niet en daarom zullen dit soort fouten een groot probleem voor hen blijven. De ‘Plus’ service brengt al meer veiligheid met zich mee en is daarom voor de korte termijn te adviseren, zolang WeTransfer geen aanpassingen toevoegt aan de gratis variant van de service.