Dropbox lagao korisnike o bezbednosti podataka

Vesti, 16.05.2011, 11:38 AM

Popularni online servis za skladištenje podataka, Dropbox, obmanjivao je svoje korisnike u vezi bezbednosti i enkripcije njihovih podataka, ističući to kao prednost u odnosu na konkurentske servise, navodi se u tužbi koju je Federalnoj trgovinskoj organizaciji (Federal Trade Commision - FTC) podneo istaknuti stručnjak u oblasti kompjuterske bezbednosti.

U dokumentu koji je stigao na adresu FTC se navodi da je Dropbox sugerisao korisnicima da su njihovi podaci potpuno šifrovani i da čak i zaposleni u kompaniji ne mogu da vide sadržaj uskladištenih fajlova. Kristofer Sogojan koji je podneo tužbu Federalnoj trgovinskoj organizaciji objavio je prošlog meseca podatke koji pokazuju da Dropbox može videti sadržaj fajlova, što znači da su korisnički podaci u opasnosti ako ih potražuju vlasti, zaposleni u kompaniji Dropbox pa čak i kompanije koje podnose masovne tužbe protiv korisnika u ime zaštite autorskih prava.

Sogojan je optužio Dropbox da obmanjuje korisnike u vezi sa tim u kojoj meri ovaj servis štiti i šifrira njihove podatke, što bi po njegovom mišljenju trebalo da bude predmet istrage FTC-a.

Dropox je odbacio Sogojanove navode.

“Smatramo da je ova tužba nezaslužena, i da ponovo pokreće pitanja kojima smo se već bavili u tekstu na našem blogu objavljenom 21. aprila 2011. godine,” rekla je portparol kompanije u izjavi za Wired.com, navodeći da kompanija ulaže velike napore kako bi podaci 25 miliona korisnika njenog online servisa koji ga koriste svakodnevno, bili bezbedni.

Međutim, Dropbox je 13. aprila revidirao tekst koji se nalazio na veb sajtu i koji je glasio: “Svi fajlovi na Dropbox serverima su šifrirani i ne može im se pristupiti bez vaše lozinke.” Umesto ovog teksta na sajtu se sada nalazi tekst koji glasi: “Svi fajlovi na Dropbox serverima su enkriptovani (AES 256).”

Razlika je, smatra Sogojan, veoma bitna. Dropbox štedi prostor analizirajući korisničke fajlove pre nego što oni budu upload-ovani, i u tu svrhu koristi takozvani “hash”, koji je kratka oznaka fajla zasnovana na njegovom sadržaju. Ukoliko je isti fajl drugi već uskladištio neki drugi korisnik Dropbox-a, servis tada ne upload-uje fajl već onaj već postojeći na serveru dodaje u korisnikov Dropbox.

Ključevi za šifrovanje i dešifrovanje podataka takođe su u rukama Dropbox-a.

Takva arhitektura omogućava zaposlenima u kompaniji da vide sadržaj korisnikovog Dropbox-a, što korisničke podatke čini osetljivim na zloupotrebu.

Međutim, portparolka kompanije tvrdi da u tekstovima koji su objavljivani na kompanijskom forumu prethodnih godina nikada nisu govorili o tome u čijim su rukama ključevi za enkripciju i kakvim mehanizmima servis sprečava pristup podacima. Ipak, takvi mehanizmi postoje, i zaposleni u kompaniji ne mogu da pristupaju fajlovima korisnika.

Međutim, u tekstu objavljenom 13. aprila na sajtu Dropbox-a, iz kompanije su ipak tvrdili da zaposleni mogu pristupiti samo metapodacima kao što su nazivi fajlova i lokacije, i to u slučaju kada korisnik ima određene probleme sa svojim Dropbox nalogom. Sada se na sajtu tvrdi da je zaposlenima zabranjen pregled sadržaja korisničkog naloga i da im je jedino dozvoljen pristup metapodacima. Dakle, radi se o dozvoli a ne o mogućnosti za pristup podacima. Iz kompanije kažu da je ipak malom broju zaposlenih ipak omogućen pristup podacima korisnika za slučaj da je kompanija u zakonskoj obavezi da takve podatke pruži na uvid. Ali to je izuzetak, kažu u kompaniji, a ne pravilo.

U tužbi podnetoj FTC-u se navodi da obećanje o potpunoj bezbednosti podataka koje korisnicima daje Dropbox dovodi u neravnopravnu poziciju konkurentske servise koji takođe garantuju bezbednost podataka, ali neki od njih zaista nemaju ključeve za enkripciju u svojim rukama, niti detektuju duplikate fajlova, što znači da je njihov trošak veći jer im treba više prostora za skladištenje nego što je to slučaj sa Dropbox-om.

Sogojan zahteva od Federalne trgovinske organizacije da prinudi Dropbox da korisnicima jasno kaže da kompanija ima uvid u njihove podatke, i da zabrani kompaniji da na ovakav način ubuduće obmanjuje korisnike.

U tužbi se takođe navodi da Dropbox obmanjuje korisnike i u pogledu svoje aplikacije za mobilne telefone, tvrdeći da se koristi HTTPS konekcija za komunikaciju između korisnikovog telefona i servera Dropbox-a. Međutim, mobilni telefoni ne enkriptuju celokupan saobraćaj.