» »

Pritožba zoper Dropbox pri FTC zaradi zavajanja o varnosti

Pritožba zoper Dropbox pri FTC zaradi zavajanja o varnosti

Wired News - Doktorski študent Christopher Soghoian je vložil pritožbo pri Komisiji za mednarodno trgovino (FTC), v kateri Dropboxu očita zavajanje uporabnikov z obljubami, da so njihove datoteke šifrirane in zaposlenim v Dropboxu docela nedostopne. Soghoian je pretekli mesec pokazal, zakaj to ne drži, na kar se je odzval tudi Dropbox s spremembo pogojev uporabe. Kljub temu je Soghoian vložil še pritožbo pri FTC.

Res je, da so datoteke na strežnikih šifrirane, kot obljublja Dropbox, a ne drži, da do njih tehnično ne morejo dostopiti. Dropbox ima ključe za dešifriranje, saj jih potrebuje za iskanje dvojnikov. Pred prenosom datoteke v oblak se namreč izračuna njena zgoščena vrednost (hash) in če ta ustreza kateri datoteki, ki jo je bil prenesel kak drug uporabnik, se ne prenaša še enkrat, ampak zgolj doda zapis v imenik. Na ta način Dropbox prihrani ogromno prostora, a po drugi strani pozna šifrirne ključe.

Dropbox se je odzval z besedami, da niso nikoli trdili, da tehnično ni mogoče prebrati datotek uporabnikov. Poudarjajo, da to ni mogoče zaradi pravil, delitve dela in politike v podjetju. Pogoji uporabe pred 13. aprilom so dejali: "Vse datoteke na strežnikih Dropbox so šifrirane (AES256) in nedosegljive brez gesla uporabnika", sedaj pa drugi del stavka manjka. Spremenjena je tudi dikcija v stavku, kjer je predhodno pisalo, da v primeru reševanja težav zaposleni do podatkov ne morejo, sedaj pa piše, da ne smejo. Dodan pa je povsem nov odstavek, da obstoji majhno število zaposlenih, ki morajo imeti dostop do vseh datotek. Navadno ga ne uporabljajo, ker je to prepovedano, razen če pride sodna odredba ali kaj podobnega.

Soghoian opozarja, da obstajata konkurenta SpiderOak in Wuala, kjer naloženih datotek resnično ni mogoče videti, ker so šifrirane primerno. V tem primeru seveda odpade možnost zaznave duplikatov in varčevanja s prostorom, zato je tak način dražji in za Dropbox manj privlačen. Zato od FTC zahteva, da Dropbox prisili v jasnejše zapisane pogoje uporabe, obvesti vse uporabnike o varnosti podatkov, preneha zavajanje v prihodnosti in ponudi finančne kompenzacije uporabnikom plačljive storitve Dropbox Pro.

10 komentarjev

smash ::

katastrofa :)

abcuser ::

"Pred prenosom datoteke v oblak se namreč izračuna njena zgoščena vrednost (hash) in če ta ustreza kateri datoteki, ki jo je bil prenesel kak drug uporabnik, se ne prenaša še enkrat, ampak zgolj doda zapis v imenik. Na ta način Dropbox prihrani ogromno prostora, a po drugi strani pozna šifrirne ključe."

Če imata dve datoteki isto hash vrednost, še ne pomeni, da poznaš šifrirne ključe. Problem pri Dropboxu je v tem, ker so šifrirni ključi shranjeni na strežniku (Dropbox strežniku), tako da lahko, kdor ima interno dostop, lahko pride do vsebine datotek.

Sicer pa kakšnih zaupnih podatkov jaz ne bi shranjeval v oblak, če ne bi predhodno sam zašifriral podatke s svojimi ključi in tako poslal Dropbox-u že šifrirane podatke. Vprašanje, koliko ljudi to naredi (verjetno je problem pomanjkanje znanja, tudi volje).

Manu ::

Saj jih veliko zavaja in dajo uporabnikom "občutek" varnosti in zasebnosti. Tega se ne bi smelo delati.
Sredi spečih in nepazljivih je modrec buden in pazljiv -
po poti gre kot hiter konj, ki je prehitel šibko kljuse.

MrStein ::

Če se z FTC misli Federal Trade Commission, potem to ni ravno za mednarodno trgovino, koliko jaz razumem.

V tem primeru seveda odpade možnost zaznave duplikatov in varčevanja s prostorom, zato je tak način dražji in za Dropbox manj privlačen.

Saj bi lahko hash izračunali na klientu in ga shranili zraven fajla.
Malo so posega v tajnost vsebine ampak res mikroskopsko.
Teštiram če delaž - umlaut dela: ä ?

levaky ::

Crashplan ima opcijo, da si sam narediš ključe in potem client pred uploadom sam zakriptira podatke in pošlje na strežnik. Ne vem pa, kako v tem primeru deluje deduplication.

Matej
---
http://www.zunaj.si - outdoor blog

Jeronimo ::

Torej če pravilno razumem, bi bilo pametno zamenjati DropBox za SpiderOak, Wuala ali Crashplan?
JURIŠ !!!
Preko vode do slobode!

zee ::

Ena moznost je, da naredis TrueCrypt container, ki ga nato nalozis na Dropbox, vendar je to malo nerodno, ce se ti mudi priti do podatkov.
zee
Linux: Be Root, Windows: Re Boot
thorin: Dual Xeon E5-2630v3, 32 GB RAM, Nvidia Geforce GTX 1080

Jeronimo ::

1 - Problem kontejnerja je to, da bi ga moral vedno v celoti uploudat. Imam za cca 1,5 giga podatkov v Dopboxu.
2- Ker uporabljam dropbox za komunikacijo med 6 računalniki (delim si različne direktorije z različnimi računalniki) kontejner ni mogoč, razen če bi kriptiral vsak deljen direktorij posebej. Vendar je to zamudno opravilo in ni realno časovno, temveč bi vedno moral zapreti truecrypt da bi se zadeva prenesla.
JURIŠ !!!
Preko vode do slobode!

techfreak :) ::

1. Ne uploada ga v celoti, ampak samo v kosih (ki so se spremenili) po okoli 4MB.

Jeronimo ::

Ok. To je druga pesem. :) Obstaja kakšna posebna opcija s katero to določim? Ker navsezadnje se kontejner obnaša kot 1 datoteka ...
JURIŠ !!!
Preko vode do slobode!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Dropbox - uporabljate? (strani: 1 2 3 4 )

Oddelek: Programska oprema
17129665 (15013) ZaLoMaT
»

Pritožba zoper Dropbox pri FTC zaradi zavajanja o varnosti

Oddelek: Novice / Zasebnost
103588 (2218) Jeronimo
»

Odkrita resna ranljivost v Dropboxu (strani: 1 2 )

Oddelek: Novice / Varnost
6016727 (12146) ginekolog
»

Dropbox spremenil pogoje uporabe, opozoril na izročanje podatkov FBI po odredbi

Oddelek: Novice / Zasebnost
206333 (4957) madmitch

Več podobnih tem