Twitter en de keerzijde van cloud computing

Weet u hoeveel documenten van uw bedrijf op Google Docs staan? (Als u zegt: “geen enkel”, bent u bijzonder naïef). Weet u hoeveel mensen toegang hebben tot die documenten? En hoe veilig hun wachtwoorden zijn? Natuurlijk niet!

Bij gebrek aan nieuws, hebben de it-websites en -blogs zich deze zomer beziggehouden met het schrijven van stukken waar zo vaak mogelijk het woord Twitter in voorkomt. Liefst in de titel, dat scoort extra hoog op Google. Ik ben uiteindelijk gestopt met die dingen nog te lezen.

Om die reden had ik dat éne artikel in juli bijna gemist. Het ging over een veiligheidsprobleem dat helemaal niets te maken had met de Twitter berichtendienst. Waar het om draaide: een hacker was erin geslaagd om massa’s interne documenten van Twitter in handen te krijgen, en had die op het net gezet.

Niet omdat de interne beveiliging van Twitter gefaald had. Nee. Maar bij Twitter was het ingeburgerd om veel documenten – ook heel belangrijke – te bewaren op Google Docs.

Google Docs is beveiligd via wachtwoorden. Op zich is dat niet onveilig, als wachtwoorden met de juiste discipline worden gekozen. Maar er zijn twee problemen:

Ten eerste: veel mensen openen Google accounts (ook) voor niet-professionele doeleinden en kiezen daarvoor een minder veilig wachtwoord dat ze niet zo vaak (of nooit) vervangen.

Ten tweede: Google en andere webdiensten bieden gemakkelijke methodes om een verloren wachtwoord terug te vinden – logisch, want gratis diensten willen geen supportkosten dragen. Soms kan het wachtwoord worden teruggevonden door het antwoord te geven op een standaardvraag (de familienaam van je moeder, bijvoorbeeld), in andere gevallen door het wachtwoord via email te laten verzenden naar een – mogelijk gecompromitteerd – mailadres.

Wat had de hacker gedaan? Hij had de achtergrond onderzocht van een aantal Twitter-werknemers. (Via Google, wellicht). Dat gaf hem een aantal waarschijnlijke antwoorden op persoonlijke vragen. Zo kwam hij in de Yahoo mailbox van één medewerker, waar hij de nodige informatie vond om ook diens Google account te kraken.

Da's toch wel iets om even bij stil te staan. Dus laten we dat nu even doen. Weet u hoeveel documenten van uw bedrijf op Google Docs staan? (Als u zegt: “geen enkel”, bent u bijzonder naïef). Weet u hoeveel mensen toegang hebben tot die documenten? En hoe veilig hun wachtwoorden zijn? Natuurlijk niet.

Wat u ook niet weet, is hoe ver deze cascades van onveiligheid kunnen leiden. Veel mensen gebruiken namelijk hetzelfde wachtwoord op verschillende systemen. Als ik uw gebruikersnaam en wachtwoord op Hotmail achterhaal, kan ik dezelfde login-gegevens ook proberen op eBay en Paypal. Enzovoort.

U hebt de afgelopen maanden – tot in den treure misschien – mogen lezen over de immense voordelen van cloud computing. Nadelen zijn er dus ook. Die nadelen zijn er vooral wanneer diensten die gericht zijn op consumenten - en die door uw personeelsleden in hun vrije tijd worden gebruikt – ook worden ingezet voor professionele doeleinden. Omdat die diensten zo handig zijn, en bovendien gratis. En omdat je er geen bonnetje voor moet invullen bij de aankoopdienst.

Geen wonder dat sommige bedrijven nu gaan nadenken over een 'private cloud'. Dezelfde flexibiliteit als de 'echte' wolk, maar veilig onder eigen controle. In theorie klinkt dat goed. Of het ook echt realiseerbaar is, da's wat anders. De architectuur van cloud computing is afgestemd op vrijwel onbeperkte schaalbaarheid. Of andere dan alleen maar de allergrootste bedrijven daar iets aan hebben, dat moet nog blijken.