Dropbox wprowadzał użytkowników w błąd?

Serwis Dropbox jest jednym z przykładów sukcesu modelu chmury obliczeniowej. Firma oferuje jedną prostą usługę: wirtualny dysk, który można współdzielić między wieloma komputerami i urządzeniami mobilnymi. Jednak okazało się, że firma wprowadzała użytkowników w błąd i dane na dyskach Dropboxa nie były tak bezpieczne jak było to przedstawiane na początku.

Na początku swojej działalności, na swojej stronie Dropbox deklarował, że tylko użytkownicy mają dostęp do zawartości plików na swoich wirtualnych dyskach, a pracownicy Dropboxa mogą co najwyżej obejrzeć ich wielkości i nazwy. Jest to technicznie możliwe, dane mogą być szyfrowane i odszyfrowywane przez aplikację Dropboxa na komputerze czy telefonie.

Jednak jak odkryli Christopher Soghoian i Ashkan Soltani, Dropbox miał dostęp do treści plików swoich użytkowników i klientów.

Aby oszczędzać miejsce na swoich serwerach Dropbox stosuje sztuczkę, nazywaną deduplikacją danych. Polega ona na tym, że oprogramowanie siecowego dysku wykrywa, że inny plik umieszczony już na serwerze - także plik należący do innego użytkownika - ma taką samą treść jak plik , który chcemy umieścić na wirtualnym dysku (jest jego duplikatem). W takiej sytuacji nie jest przesyłany cały plik, a jedynie informacja, że użytkownik Jan Kowalski, wgrał na swoje konto taki sam plik jak John Smith i wystaczy ten sam plik dopisać do jego konta. Nie byłoby to możliwe, gdyby oprogramowanie Dropboxa nie miało dostępu do treści plików na serwerach.

Badacze powiadomili Electronic Frontier Foundation (organizację pozarządową zajmującą się obroną prywatności w Internecie), która skontaktowała się z Dropboxem.

W odpowiedzi firma zmieniła zamieszczoną na swojej stronie politykę prywatności. Nie mówi już ona, że pracownicy nie mają dostępu do treści plików użytkowników. Firma poinformowała też na blogu, że pracownicy istotnie mają dostęp do danych na kontakt, jednak dostęp ten podlega ścisłej technicznej i regulaminowej kontroli, a jeśli dla kogoś to za mało, to można na dysku dropboxowym założyć szyfrowany wolimin dyskowy za pomocą ogólnie dostępnego darmowego programu TrueCrypt.

W odpowiedzi Christopher Soghoian złożył oficjalny protest do Federalnej Komisji Handlu, amerykańskiej instytucji zajmującej się regulacją rynku produktów i usług, oskarżając Dropboxa o reklamowanie nieprawdy o swoich usługach.

Jednak jest to kolejny przykład na to, że bezpieczeństwo danych w chmurze obliczeniowej jest pojęciem dwuznacznym, nie było przypadku wycieku danych z Dropboxa, ale nie można też mówić o tym, że jest to równie bezpieczne jak dane na własnym dysku we własnej kieszeni.

 

[za Wired, paranoia.dubfire.net]