Pritožba zoper Dropbox pri FTC zaradi zavajanja o varnosti

Doktorski študent Christopher Soghoian je vložil pritožbo pri Komisiji za mednarodno trgovino (FTC), v kateri Dropboxu očita zavajanje uporabnikov z obljubami, da so njihove datoteke šifrirane in zaposlenim v Dropboxu docela nedostopne. Soghoian je pretekli mesec pokazal, zakaj to ne drži, na kar se je odzval tudi Dropbox s spremembo pogojev uporabe. Kljub temu je Soghoian vložil še pritožbo pri FTC.

Res je, da so datoteke na strežnikih šifrirane, kot obljublja Dropbox, a ne drži, da do njih tehnično ne morejo dostopiti. Dropbox ima ključe za dešifriranje, saj jih potrebuje za iskanje dvojnikov. Pred prenosom datoteke v oblak se namreč izračuna njena zgoščena vrednost (hash) in če ta ustreza kateri datoteki, ki jo je bil prenesel kak drug uporabnik, se ne prenaša še enkrat, ampak zgolj doda zapis v imenik. Na ta način Dropbox prihrani ogromno prostora, a po drugi strani pozna šifrirne ključe.

Dropbox se je odzval z besedami, da niso nikoli trdili, da tehnično ni mogoče prebrati datotek uporabnikov. Poudarjajo, da to ni mogoče zaradi pravil, delitve dela in politike v podjetju. Pogoji uporabe pred 13. aprilom so dejali: "Vse datoteke na strežnikih Dropbox so šifrirane (AES256) in nedosegljive brez gesla uporabnika", sedaj pa drugi del stavka manjka. Spremenjena je tudi dikcija v stavku, kjer je predhodno pisalo, da v primeru reševanja težav zaposleni do podatkov ne morejo, sedaj pa piše, da ne smejo. Dodan pa je povsem nov odstavek, da obstoji majhno število zaposlenih, ki morajo imeti dostop do vseh datotek. Navadno ga ne uporabljajo, ker je to prepovedano, razen če pride sodna odredba ali kaj podobnega.

Soghoian opozarja, da obstajata konkurenta SpiderOak in Wuala, kjer naloženih datotek resnično ni mogoče videti, ker so šifrirane primerno. V tem primeru seveda odpade možnost zaznave duplikatov in varčevanja s prostorom, zato je tak način dražji in za Dropbox manj privlačen. Zato od FTC zahteva, da Dropbox prisili v jasnejše zapisane pogoje uporabe, obvesti vse uporabnike o varnosti podatkov, preneha zavajanje v prihodnosti in ponudi finančne kompenzacije uporabnikom plačljive storitve Dropbox Pro.