Skarga do FTC przeciwko Dropboksowi
Christopher Soghoian, specjalista ds. bezpieczeństwa pracujący w Center for Applied Cybersecurity Research Indiana University złożył przed Federalną Komisją Handlu (FTC) skargę [PDF] przeciwko Dropboksowi.
Uczony prosi Komisję o sprawdzenie jego wątpliwości dotyczących polityki bezpieczeństwa serwisu. 1. Dropbox reklamuje swoją usługę hostowania, synchronizacji i dzielenia plików, która jest obecnie używana przez 25 milionów ludzi, jako bezpieczną. Wiele osób „polega na Dropboksie, jako na miejscu, które dba o bezpieczeństwo ich najważniejszych informacji". 2. Dropbox nie stosuje najlepszych praktyk biznesowych dotyczących technologii przechowywania danych. Szczególnie warto tu podkreślić, że pracownicy Dropboksa mają dostęp do niezaszyfrowanych plików użytkowników. 3. Dropbox wciąż podaje konsumentom nieprawdziwe informacje dotyczące zakresu ochrony i szyfrowania ich danych. 4. Użytkownicy Dropboksa są narażeni na zwiększone ryzyko utraty danych i tożsamości, ponieważ informacje nie są szyfrowane według najlepszych standarów. 5. Jeśli Dropbox ujawniłby pełne szczegóły dotyczące praktyk ochrony danych, niektórzy z jego użytkowników mogliby zrezygnować z tego serwisu na rzecz konkurencyjnych usług, które stosują najwyższe przemysłowe standardy ochrony danych, chronią swoje własne dane za pomocą narzędzi szyfrujących firm trzecich lub też w ogóle zrezygnowaliby z tego typu usług. 6. Działania Dropboksa są zwodniczymi praktykami handlowymi, co stanowi naruszenie paragrafu 5. ustawy o Federalnej Komisji Handlu.
W dalszej części skargi Soghoian pisze, że Dropbox używa algorytmu AES-256, który zapewnia bardzo silną ochronę danych. Zauważa jednak, że wybór algorytmu szyfrującego jest bardzo ważnym elementem systemu ochrony. Jednak równie ważny jest sposób przechowywania kluczy szyfrujących oraz zarządzanie nimi. Klucze, używane do szyfrowania danych użytkowników są dostępne niektórym pracownikom Dropboksa i przechowywane są na firmowych serwerach. Sposób przechowywania i zarządzania kluczami jest niezgodny z najlepszymi biznesowymi praktykami. Niektóre z konkurencyjnych serwisów, takie jak SpiderOak i Wuala, domyślnie szyfrują dane kluczami dostępnymi tylko właścicielom danych. Firmy te nie mają dostępu do niezaszyfrowanych danych użytkowników. Naukowiec zwraca też uwagę, że sam prezes ds.technologicznych Dropboksa, Arash Ferdowsi zauważył na forum Dropboksa, że „jedynym 100-procentowo pewnym rozwiązaniem jest samodzielne szyfrowanie swoich online'owych danych". Mimo to, że Ferdowsi przyznał, iż Dropboks nie jest w 100 procentach bezpieczny, serwis nadal informuje użytkowników, że ich pliki są zawsze bezpieczne.
Soghoian informuje również, że od początku kwietnia wraz z przedstawicielami Electronic Frontier Foundation informował Dropboksa o problemach, zainteresował nimi wiele osób, jednak zmiany, jakie podjął serwis są niewystarczające. W skardze czytamy, że pod koniec kwietnia w regulaminie zmieniono zdanie nikt, komu świadomie na to nie pozwolisz, nie może oglądać twoich prywatnych plików o ile nie umieścisz ich w folderze publicznym na inni użytkownicy Dropboksa nie mogą, o ile świadomie im na to nie pozwolisz, oglądać twoich prywatnych plików, chyba że umieścisz je w folderze publicznym. Zmieniono też np. zapewnienie o tym, że pracownicy Dropboksa nie mają możliwości oglądania plików użytkownika na mają zakaz oglądania plików użytkownika.
Dropbox nie ustosunkował się jeszcze do skargi Soghoiana.
Komentarze (3)
fri.K, 16 maja 2011, 21:17
No chyba nikt nie wysyła na DropBoxa swoich super tajnych danych w niezaszyfrowanych paczkach, prawda?
DropBox jest fajny, działa na różnych systemach i jest wygodny w użyciu (Ciągle się rozwija).
Choć faktycznie mogli by podawać jak wygląda obecnie bezpieczeństwo danych i ewentualnie umożliwić dokupienie wyższego poziomu bezpieczeństwa.
qreg, 16 maja 2011, 23:10
Drobna uwaga Federalną Komisją Komunikacji (FTC) - Federal Trade Commission - to Federalna Komisja Handlu afaik.
Mariusz Błoński, 17 maja 2011, 11:02
Dzięki, poprawione