Privacy - Wat niemand over je mag weten

Prive bestanden van OneDrive worden openbaar bij gebruik van Versiegeschiedenis

02-03-2021, 14:29 door hny3425, 29 reacties
Als je voor OneDrive betaalt, kun je de functie Versiegeschiedenis gebruiken. Erg handig als je een vorige versie van een bestand wilt terugzetten of downloaden. Punt is alleen dat als je dit laatste doet, het bestand openbaar beschikbaar wordt.

De 'feature' nabootsen.
Maak een willekeurig bestand aan, bijvoorbeeld test1.txt. Pas elke paar minuten een paar keer aan, zodat je bij de optie Versiegeschiedenis in ieder geval 3 bestanden of meer ziet. De meest recente versie is niet te downloaden, de aller eerste creëert een veilige privé link: het domein van de download link heeft willekeurige letters, zoals vzzvea.am.files.1drv.com en daarnaast is een log in vereist om het te kunnen downloaden. Echter, voor alle versies daartussenin wordt een openbare link geproduceerd, waar geen log in voor nodig is. Het domain is dan public.am.files.1drv.com.

Reactie OneDrive
Na wat heen en weer mailen (over hoe dit gedrag na te bootsen) geeft OneDrive de volgende reactie: "This is a normal expected behavior. These links are only valid for a very short period of time. It is not an issue still we value your feedback and request you to share your feedback on the OneDrive users voice."

Bug of Feature?
Ik vind het maar een vreemd verhaal, dat het 'expected behavior' is, want waarom wordt dan wél een veilige link gecreëerd voor de oudste versie van het bestand? Daarnaast blijkt 'a very short period of time' toch minstens een aantal dagen. En daarnaast, voor het downloaden van een privé bestand zou altijd een log in vereist moeten zijn.

Blokker
Wat mij betreft past dit in hetzelfde straatje als het nieuws omtrent Blokker een aantal weken geleden. Dat privé gegevens inzichtelijk waren door slechts de link met het bestellingnummer aan te passen. Ook al is het tweede en laatste deel van de OneDrive links een stuk ingewikkelder, met een willekeurig reeks van 217 karakters (Of in ieder geval de eerste 214, de eerste 3 letters zijn in mijn geval altijd y4m).

Iemand zin om te vissen?
Aan de ene kant stelt de lange reeks van karakters mij gerust. Aan de andere kant is een script, die een willekeurige reeks 214 karakters genereert en vervolgens poogt die te downloaden, zo geschreven. Met mijn eenvoudige codeerskills kom ik al snel op zo'n duizend pogingen per minuut. Daarnaast zal er ook een algoritme achter de randomgenerator zitten waar ik geen tijd aan heb besteed. Toch leuk, een beetje vissen. Eenmaal geschreven kan je het eindeloos laten draaien. Weet jij veel wat je binnenhaalt en wat er allemaal instaat.

Na een week heen en weer mailen met OneDrive heb ik dus bovenstaande reactie gekregen. 'Expected behavior'. Wat vinden jullie hier van?
Reacties (29)
02-03-2021, 14:39 door Anoniem
Waar kies je bij uploaden voor: bestanden allen beveiligd opgeslagen en beschikbaar met wachtwoord, of publiek beschikbaar.

Indien eerste: dan is dit mooi foute boel. IDOR, afgekort.
02-03-2021, 14:46 door Anoniem
Zo'n antwoord kan je verwachten. Pas als je een script maakt waarin je met succes een bestand hebt gedownload, dan is er iets aan de hand. Dus, ga aan de slag dan maar....
02-03-2021, 15:04 door Anoniem
Dit lijkt op het probleem dat je als je een file met iemand "deelt", je dit nooit meer ongedaan kunt maken.
De publieke link die je weg gegeven hebt blijft altijd geldig, die kun je nooit meer intrekken.
Tenzij je heel het bestand weggooit (nadat je het eventueel gecopieerd hebt).

Volgens mij is er helemaal niemand die kan zeggen dat iets "expected behavior" is omdat die hele kermis totaal onvoorspelbaar gedrag vertoont waarvan je soms zegt "dat lijkt me redelijk" en andere keren is het weer heel raar.
Dat is bij Sharepoint online hetzelfde verhaal. (en uiteraard ook bij vergelijkbare producten van concurrenten)
02-03-2021, 17:37 door Anoniem
Komt het gedrag overeen met de documentatie, dan is het 'expected behaviour'.

Maar dit klinkt als een bug (met zeer lage prioriteit), deze bug gaat niet gefixt worden.
02-03-2021, 18:32 door Anoniem
Door Anoniem: Komt het gedrag overeen met de documentatie, dan is het 'expected behaviour'.

Maar dit klinkt als een bug (met zeer lage prioriteit), deze bug gaat niet gefixt worden.

Dit dus.. Deze bug gaat niet gefixt worden.

Ik zou mijn shekels de volgende keer uitgeven aan een andere CloudService. Ik kan wel wat aanbevelingen doen als je interesse hebt. Maar alles... alles behalve OneDrive want het is van Corrupt & Co.


Just my 2 Roubles...
02-03-2021, 18:46 door hny3425
Door Anoniem: Waar kies je bij uploaden voor: bestanden allen beveiligd opgeslagen en beschikbaar met wachtwoord, of publiek beschikbaar.

Indien eerste: dan is dit mooi foute boel. IDOR, afgekort.

De post gaat over prive bestanden (zie titel). Als ik iets op OneDrive zet, ga ik ervan uit dat dit privé blijft. Tenzij ik gebruik maak van een share-optie en een deellink aan wordt gemaakt, maar dat is hier volgens mij niet van toepassing.
02-03-2021, 19:24 door Anoniem
Privé bestanden zet je niet op internet. Dus ook niet op OneDrive.
02-03-2021, 22:30 door Anoniem
Door Anoniem: Privé bestanden zet je niet op internet. Dus ook niet op OneDrive.

Juist.
Prive bestanden staan encrypted op een computer die niet met het enig netwerk verbonden is.
Of nog beter: Encrypted op een schijf in een afgesloten kluis.

:-)
02-03-2021, 22:41 door Anoniem
Door Anoniem: Privé bestanden zet je niet op internet. Dus ook niet op OneDrive.

Ik ben anders wel benieuwd naar de content. Er zijn betere alternatieven voor OneDrive tenzij je bij de grootste maffia van Nederland (of de wereld) zit en je lekker aan rommelt want oom Antonio of de godfather zelf ruimt de rommel wel achter je op.


Just my 2 Rubs
03-03-2021, 08:06 door Anoniem
EXPECTED BEHAVIOR is hetzelfde als zeggen: het is een fout die ik niet wil toegeven.

Het amerikaanse taalgebruik is vol van deze misselijkmakende uitdrukkingen die politieke correctness suggereren
03-03-2021, 11:29 door Anoniem
Door Anoniem:
Door Anoniem: Privé bestanden zet je niet op internet. Dus ook niet op OneDrive.

Ik ben anders wel benieuwd naar de content. Er zijn betere alternatieven voor OneDrive tenzij je bij de grootste maffia van Nederland (of de wereld) zit en je lekker aan rommelt want oom Antonio of de godfather zelf ruimt de rommel wel achter je op.


Just my 2 Rubs

Geef eens aan wat die betere alternatieven dan zijn. Je wilt toch hoop ik niet voorstellen om zelf een NAS te kopen (of nog erger, een server op te tuigen) en die aan internet te hangen zodat je bij je bestanden kunt als je elders bent?
03-03-2021, 13:35 door Anoniem
Ik dacht eerst dat dit een grap was maar heb het toch even gecheckt voor de zekerheid.
Bij mij werkt het dus ook zo. Versies die ouder zijn dan de recentste versie kunnen worden gedownload via een link dat begint met public.am.files.

Iedereen met de link kan dus bestanden downloaden, dit terwijl het bestand met niemand is gedeeld! In Onedrive staat het bestand op Prive. Nou mooi niet dus.

Voor bestanden in de kluis krijg ik (gelukkig) een foutmelding maar ik weet dus zeker of de bestanden in Onedrive wel veilig zijn opgeslagen. Toch de NAS maar weer activeren.
03-03-2021, 17:53 door Anoniem
Door Anoniem: Ik dacht eerst dat dit een grap was maar heb het toch even gecheckt voor de zekerheid.
Bij mij werkt het dus ook zo. Versies die ouder zijn dan de recentste versie kunnen worden gedownload via een link dat begint met public.am.files.

Iedereen met de link kan dus bestanden downloaden, dit terwijl het bestand met niemand is gedeeld! In Onedrive staat het bestand op Prive. Nou mooi niet dus.

Voor bestanden in de kluis krijg ik (gelukkig) een foutmelding maar ik weet dus zeker of de bestanden in Onedrive wel veilig zijn opgeslagen. Toch de NAS maar weer activeren.


Onedrive en Bitlocker waar je een TPM chip voor nodig hebt snap ik niet. Het zal wel iets zijn uit het mysterieuze Babylon.

Google Drive is gratis en zou je nog minder moeten vertouwen. Wanneer word de wereld wakker dat Microsoft onze hele levens en die van onze kinderen en kleinkinderen in de uitverkoop zet met Windows 10?

JodoQus
03-03-2021, 19:45 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Privé bestanden zet je niet op internet. Dus ook niet op OneDrive.

Ik ben anders wel benieuwd naar de content. Er zijn betere alternatieven voor OneDrive tenzij je bij de grootste maffia van Nederland (of de wereld) zit en je lekker aan rommelt want oom Antonio of de godfather zelf ruimt de rommel wel achter je op.


Just my 2 Rubs

Geef eens aan wat die betere alternatieven dan zijn. Je wilt toch hoop ik niet voorstellen om zelf een NAS te kopen (of nog erger, een server op te tuigen) en die aan internet te hangen zodat je bij je bestanden kunt als je elders bent?

Hoeveel cloudservices zijn er wel niet?

Er zijn honderden bedrijven bezig met het aanbieden van clouddiensten.

Even googelen en je weet het. Onedrive is niet de toekomst. Google Drive ook niet. Wie weet waar die data voor gebruikt wordt (je dochters afpersen bijv.)

Het is algemeen bekend dat jouw data binnen het militair industrieel complex met Jan en alleman gedeeld worden. Ik heb kan er een boek over schrijven en dat ga ik ook maar doen. Het zijn volwassenen met qua gedrag stomme kinderen met rotgedrag die zichzelf in de hemel wanen terwijl ze iedereen terroriseren. Lekker hypocriet.
03-03-2021, 22:09 door Anoniem
Door Anoniem: Je wilt toch hoop ik niet voorstellen om zelf een NAS te kopen (of nog erger, een server op te tuigen) en die aan internet te hangen zodat je bij je bestanden kunt als je elders bent?

Waarom eigenliijk niet?
NAS is niet zo duur meer. VPN erop. (Synology ondersteunt dat in ieder geval)
En gaan met die banaan.

Je hebt volledige controle over je data, en de toegang ertoe.
En dat is toch wat je wilt.

Zet je de data buiten de deur, dan loop je altijd het risico dat of je data te grabbel gegooit wordt, of dat de cloud service vanwege "copyright" beveiligingen opeens delen van jouw data ontoegankelijk maakt.

Voorbeeld: ik heb heb jaren terug een user manual van IBM (Cognos of Impromptu) geupload naar een cloud storage als test.
Het betreffende bestand was daarna niet toegankelijk omdat ik de copyright zou overtreden :-)
Wij hadden gewoon een licentie voor het pakket. En mochten de manual dus gewoon gebruiken.
Maar ga dat zo'n vage buitenlandse organisatie maar uitleggen.

Een eigen server/NAS is op zo'n moment een stuk makkelijker. Je hebt teminste conttole over je data.
03-03-2021, 22:37 door Anoniem
Ik ben blij dat op deze site een eerlijke open discussie mogelijk is. En dat het over relevante dingen gaat en niet meer die wappie onderwerpen die van een Tweakers forum zijn komen overwaaien. Heer-lijk!
03-03-2021, 23:14 door Anoniem
Door Anoniem: Ik ben blij dat op deze site een eerlijke open discussie mogelijk is. En dat het over relevante dingen gaat en niet meer die wappie onderwerpen die van een Tweakers forum zijn komen overwaaien. Heer-lijk!

Het is inderdaad wat frisser hier. Alsof er een nieuwe wind is gaan waaien deze week.

De wind van vrijheid misschien? Ik voel het tot diep in mijn vezels.

-SterretjeDawood-
03-03-2021, 23:19 door Anoniem
Ik vind One helemaal het einde...


-SterretjeDawood-
03-03-2021, 23:23 door Anoniem
Door Anoniem:

Even googelen en je weet het. Onedrive is niet de toekomst. Google Drive ook niet. Wie weet waar die data voor gebruikt wordt (je dochters afpersen bijv.)
.
Als die kinderen zo STOM zijn om naaktfoto's daar te zetten, is het ergens iets van eigen schuld, dikke bult.
04-03-2021, 07:17 door Anoniem
Door Anoniem: Geef eens aan wat die betere alternatieven dan zijn. Je wilt toch hoop ik niet voorstellen om zelf een NAS te kopen (of nog erger, een server op te tuigen) en die aan internet te hangen zodat je bij je bestanden kunt als je elders bent?
Zullen we eens beginnen met de noodzaak om bij je bestanden te kunnen als je elders bent? De meeste mensen komen, als ze niet op vakantie zijn, dagelijks thuis. Je kan binnen een dag bij bestanden die je nodig hebt, zoals je ook binnen een dag bij de fysieke spullen die je hebt kan. Is er een reden waarom dat niet volstaat?

Ik hoef onderweg niet bij mijn bestanden te kunnen, en ook niet bij mijn e-mail. Ik heb in de jaren '90 met ICQ al ontdekt dat chatten me niet bevalt omdat het voortdurend mijn concentratie op andere dingen waar ik mee bezig ben doorbreekt. Ik ben telefonisch bereikbaar (geen smartphone) en wie me echt nodig heeft kan me bellen. Als dat te lastig is is het kennelijk ook weer niet zó dringend.

Als die noodzaak om bij je bestanden te kunnen nou ook weer niet zo dringend blijkt te zijn dan heb je die betere alternatieven helemaal niet nodig.
04-03-2021, 11:42 door Anoniem
Door Anoniem:
Door Anoniem:

Even googelen en je weet het. Onedrive is niet de toekomst. Google Drive ook niet. Wie weet waar die data voor gebruikt wordt (je dochters afpersen bijv.)
.
Als die kinderen zo STOM zijn om naaktfoto's daar te zetten, is het ergens iets van eigen schuld, dikke bult.

Hehe. Ik heb dus familie. En dat heeft allemaal kleintjes. En die hebben gemiddeld 15 apparaten gekoppeld aan Cloud Accounts per huishouden.

U kent het wel:

Smart TV met Bluetooth en Sonos Boxen
Vader op bank met secundaire Tablet op Wifi
Moeder op te de telefoon apps scrollen
2 kinderen met Smartphones als ze niet aan het Xboxen zijn en het streamen met hun webcam comments
Nog tal van apparaten op slechte WiFi, lampen en shit die je via de telefoon op het werk kan inkleuren

Vanaf een jaar of 8 bouwt Google hun hele profiel op. Maar daar gaat het niet om.

Beveiliging? Privacy? Hoezo? We doen alleen maar Facebooken. (=De hele dag kijken wat anderen doen)

"Nee is allemaal niet nodig. Familiefilter? De ziggo modem is genoeg zo. Wij hebben 500mbit over de wifi"

"Met Samsung Galaxy nog nooit een probleem gehad met mijn privacy"

"Dus kopen we de de S10.. S20 whatever voor 900 euro volgende maand want Jenny heeft er ook 1 en we zijn stikjaloers"

Zitten nu nog allemaal op Android 8

"Papa, kijk, ik heb maar liefst 300 games op mijn Smartphone geladen!"

Terwijl Mama tiktokkent met Faceapp de hond van de buren 20 jaar ouder maakt

...

En dit is een doorsnee gezin

Dus wat ga je doen? Bij die mensen dring je niet binnen.

De bandbreedte hebben ze nodig om te streamen (onzinnig want dezelfde zenders heb je ook op coax TV) en voor de eindeloze stroom aan stomme filmpjes die op Whatsapp binnenkomen.


Moraal van het verhaal: waar ga je beginnen? Het verzamelen van data kan tegen je gebruikt worden. Tegen je kinderen.
Om hun de profileren, psychologisch te manipuleren. Waarom verzamelen ze anders jouw data? Tegen terreur? Haha. Als u niet meteen ingrijpt worden uw kinderen straks robotjes met soft mindpersuasion technieken.

Dus je bent als ouder niet verantwoordelijk bezig. Wat maakt die ene naaktfoto uit? Daar schaam je je wel voor? Raar hoor. Afpersing is namelijk zo jaren 70 in de wereld van de espionage. Pedos hebben ze ook al decennia niet meer nodig en kunnen burnt worden. Alles gaat via de geest-manipulatie tegenwoordig.
04-03-2021, 15:21 door Pieter Stoffelen
214 characters kun je niet bruteforce checken, 26^214 is 6,3 E302 niet echt een probleem dus.
04-03-2021, 15:30 door Anoniem
Door Pieter Stoffelen: 214 characters kun je niet bruteforce checken, 26^214 is 6,3 E302 niet echt een probleem dus.

De vraag is hoe die 214 characters zijn opgebouwd, is dit random, of een vertaling van bijvoorbeeld ip, tijd & gebruiker?
04-03-2021, 17:37 door Anoniem
Door Anoniem:
Door Pieter Stoffelen: 214 characters kun je niet bruteforce checken, 26^214 is 6,3 E302 niet echt een probleem dus.

De vraag is hoe die 214 characters zijn opgebouwd, is dit random, of een vertaling van bijvoorbeeld ip, tijd & gebruiker?

Als je kiest voor de optie download, maakte hij elke keer een nieuwe link aan. Met een paar honderd unieke links is het vast mogelijk er een patroon in te herkennen, en na te bootsen.
04-03-2021, 20:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Pieter Stoffelen: 214 characters kun je niet bruteforce checken, 26^214 is 6,3 E302 niet echt een probleem dus.

De vraag is hoe die 214 characters zijn opgebouwd, is dit random, of een vertaling van bijvoorbeeld ip, tijd & gebruiker?

Als je kiest voor de optie download, maakte hij elke keer een nieuwe link aan. Met een paar honderd unieke links is het vast mogelijk er een patroon in te herkennen, en na te bootsen.

De vraag is hoe die 214 characters zijn opgebouwd.

UUID4 is bijvoorbeeld een methode om unieke keys te genereren. Als jee een paar honderd unieke links hebt verzameld heb je nog steeds niets.
04-03-2021, 23:46 door Anoniem

De vraag is hoe die 214 characters zijn opgebouwd.

UUID4 is bijvoorbeeld een methode om unieke keys te genereren. Als jee een paar honderd unieke links hebt verzameld heb je nog steeds niets.

Zou kunnen. Zou jij die optie versiegeschiedenis zonder zorgen gebruiken?
05-03-2021, 12:45 door Anoniem
Ik heb het even getest op onedrive live en onedrive Office 365. De eerst werkt zoals beschreven en is dus in mijn visie een lek. Bij de tweede moest ik me authenticeren. Dus op Office 365 werkt het niet.

Je kunt paar dingen doen:
1) Negeren en weg gaan bij onedrive live
2) Het script schrijven en zo laten zien dat je willekeurige data kan downloaden + persoon gegevens. Dan wordt je verhaal sterker
3) Een blog schrijven hoe dit het precies moet doen.
4) Formele klacht indien bij Microsoft.

Ik vind dit een exploit en niet een feature.
05-03-2021, 13:59 door Anoniem
Door Anoniem:

De vraag is hoe die 214 characters zijn opgebouwd.

UUID4 is bijvoorbeeld een methode om unieke keys te genereren. Als jee een paar honderd unieke links hebt verzameld heb je nog steeds niets.

Zou kunnen. Zou jij die optie versiegeschiedenis zonder zorgen gebruiken?

Zelf zou ik sowieso niets in een Cloud zetten (die ik niet zelf geconfigureerd heb).
13-01-2022, 18:11 door Anoniem
Er is een nog veel groter probleem kwam ik gisteren achter...

OneDrive, Fished alle standaard mappen van je lokale schijf, die dan verdwenen zijn, en als je ze terug kopieert of de "locatie" terug op D:\"gebruiker" \documenten zet, is ie een eeuwigheid bezig, maar staat er dan een *lege* map!

En krijg je de cryptische melding "u heeft net 11.572 bestanden weggegooid" endat bje die binnen 30 dagen weer terug kunt zetten.

Waar haalt Microsoft deze wederrechtelijke inbraak neiging vandaan, dat is toch bij de wilde spinnen af, ze hebben niets te wissen in mijn lokale structuur, laat staan dat ze mappen verplaatsen...

Dat ze daarna ook nog eens kennelijk open en bloot voor MS medewerkers komen te staan is ook alles behalve fris...
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.