Kot pišejo na svojem blogu, se je vse skupaj začelo s krajo uporabniških podatkov na neki tretji strani (ne piše kateri), nakar so tamkajšnji napadalci preizkusili dobljene e-poštne naslove in gesla še na drugih spletnih straneh, najbrž GMailu in Facebooku, a tudi Dropboxu. Pri tem se jim je zasvetila zvezda sreča, saj je eden od ukradenih naslovov pripadal zaposlenemu pri Dropboxu, tako da so napadalci dobili dostop do njegovega računa. Tu pa se začne drugi del napada. Med pregledovanjem računa (ročno očitno) so napadalci našli še zajetno bazo e-poštnih računov od uporabnikov Dropboxa, ki jih je zaposleni (najbrž v nasprotju z zakonom in internimi pravili za ravnanje z osebnimi podatki) hranil kar v svojem dropbox imeniku, v nešifrirani obliki. To bazo so potem bržkone preprodali naprej nekomu, ki je potem poskrbel za dostavo spama. Kaj so storili z ostalim nagrabljenim plenom (očitno so se trudili), se seveda ne ve.
Dropbox je na svoji strani obljubil uvedbo opcijske dvofaktorske avtentikacije (geslo + npr. pin preko sms-a) za uporabnike, oziroma obvezne za zaposlene, ter pripravo posebne spletne strani, preko katere bo mogoče videti vse nedavne poskuse prijave v sistem. To bi otežilo vdor v sistem v primeru kraje gesla, oziroma olajšalo odkritje in prijavo s strani uporabnikov, če se bo uporabnikom seveda ljubilo pogledati to stran. Nekaj dodatnih hrčkov bodo zaposlili tudi pri Dropboxu, na posodobljenem hevrističnem sistemu za iskanje sumljivega vedenja (sočasne prijave z zelo oddaljenih IP naslovov, idr.).
Vse skupaj je, kot rečeno, še en pomemben opomnik uporabnikom, naj ne uporabljajo istih gesel za vse spletne strani, oziroma ne vsaj za najpomembnejše servise ranga e-pošta, socialno omrežje, varnostna kopija datotek. Istočasno velja priporočiti, da občutljivih datotek ne velja shranjevati na splet v nešifrirani obliki. Pri Dropboxu morate za to poskrbeti sami, seveda pa obstajajo tudi servisi, ki za to poskrbijo sami.
Obenem je Dropboxov lapsus tudi pomenljivo opozorilo regulatorjem, da bo treba na politikah ravnanja z osebnimi podatki še veliko delati. To je nasploh vroče področje v EU, sploh zdaj, ko regulatorji počasi in z večletnim zaostankom ugotavljajo, da se podatke hrani "v oblaku", to je tam, kjer je najceneje in najbolj priročno, se pravi često v tujini. EU je pri tem v dilemi, kako urediti izvoz osebnih podatkov o Evropejcih, zlasti v ZDA (na Amazonov cloud). V danem trenutku velja dogovor med Evropsko komisijo in ameriškim ministrstvom za gospodarstvo , da se to sme, če se ameriška stran "proglasi za samocertificirano" in s tem zagotovi "ti. varni pristan spoštovanja isto striktnih pravil varovanja osebnih podatkov, kot veljajo v EU". Samocertifikacija je džabe in sestoji iz enega samega obrazca z minimalnimi podatki. Dropbox seveda je certificiran, vendar to več kot očitno (glej zgoraj) še ne pomeni, da zagotavljajo varstvo osebnih podatkov v skladu z Direktivo EU o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov in relevantnimi novelami (mimogrede, z implementacijo slednje že tako zelo zamujamo, tako da bomo kmalu začeli plačevati znatno kazen). V praksi morajo biti podjetja zelo jasna glede tega, katere podatke zbirajo in zakaj, za to pridobiti soglasje in potem to soglasje tudi spoštovati. Da bi se to zgodilo, pa sta nujna rigorozni nadzor in seveda tudi kakšna kazen. A to pomeni dodatna pravila in regulacijo, kar na parketu ameriškega Kongresa trenutno pomeni predvsem "dušenje ljudi, ki ustvarjajo službe". Zanimivo vprašanje je, zakaj je bila EU pripravljena sprejeti takšen enostranski kompromis (ki ga, mimogrede, posledično v svojih nedavnih smernicah priporoča tudi naš Informacijski pooblaščenec), oziroma bolje vprašano, ali pri tem niso imeli prstov zraven lobisti ponudnikov in uporabnikov oblačnih storitev (se ve). No, po drugi strani pa je tudi res, da niso vsi tako zaupljivi. Dva ugledna evropska pravnika sta ravno sinoči objavila javno pismo, v katerem izražata skrb, da bodo ameriški ponudniki oblačnega gostovanja vse gostovane podatke brez zadržkov izročili ameriškim pravosodnim organom,
Samoregulacija namreč v praksi daje zelo slabe rezultate. O tem bi vedel pričati npr. finančni sektor, kmalu pa se mu bo morda pridružil še oglaševalski. Spletno sledenje je trenutno tehnologija številka ena, sploh ob ugotovitvah, da učinkovitost obstoječih oglasov in s tem njihova cena vztrajno padata (od tod tudi nizka rast Facebookovih prihodkov). Oglaševalci bi zato radi o uporabnikih vedeli vse živo, da bi jim potem lahko priobčili čim bolj klikabilen (beri: vreden) oglas. V igro se misli vmešati celo Intel, ki bi rad v televizije vgradil ves čas vklopljene kamere, ki bi zaznale profil gledalca (oče, mati, hči? vsi od njih?) in temu primerno prilagodil tudi oglase, tako da gospoda več ne bi bremenili z reklamami za čistila in damske vložke, oziroma obratno. To pa seveda (na spletu, če se vrnemo k tem) pomeni, da se ob obisku prenekatere strani s socialnim vključkom (fb, twitter, google analytics, idr.) zbirajo dragoceni podatki o uporabnikovi spletni aktivnosti, pretežno brez njegove izrecne privolitve ali vedenja (in stiskanje tega nekam globoko v pogoje poslovanje ne bi smelo šteti). Američani spet predlagajo samoregulacijo in to v opt-out različici, znano kot Do-not-track header. DNT je, kot smo že pisali, posebna nastavitev v brskalniku, ki, če bo vklopljena, oglaševalcu pove, da si uporabnik ne želi sledenja. Trik je v tem, da bo podatke še vedno lahko zbiral (!), le za sledenje jih ne bo smel uporabiti (?!), seveda pa bo sistem po privzetem izklopljen. Microsoft je za IE 10 načrtoval po privzetem vklopljen header, kar pa se je končalo bolj ko ne žalostno. Delovna skupina za DNT, ki ji predseduje Mozilla, je sklicala izredni sestanek in napol postopkovno pravilno dopolnila pravila z dostavkom, da so tehnične rešitve (= brskalniki), ki imajo DNT po privzetem vklopljen, v neskladju s specifikacijo, zato bo treba njihov header nujno ignorirati. Se pravi, če oglaševalec prejme IE10 DNT: ON header, se mora delati, kot da ga ne bi bilo. IE ekipa je sklonila glave in privolila v to, da bo DNT po privzetem izklopljen.
Malo za šalo, malo zares: nismo si mislili, da bomo kdaj dočakali čas, da bo Microsoft bolj zavzet za pravice uporabnikov kot Mozilla. No, po drugi strani je MS-jev pohod v oglaševalski svet pomenil odpis 6 milijardne investicije in prvo četrtletno izgubo od 20+ letih, Mozilla pa od Googlovega oglaševalskega cvenka ne samo živi, ampak z njim tudi dela lepe in dobre stvari.
