Mellékleteink: HUP | Gamekapocs
Keres
Július 19-én SYSADMINDAY: egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket!

Átverte felhasználóit a Dropbox

Dojcsák Dániel, 2011. május 17. 17:09
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A párhuzamosan több eszközt is használók között kiemelkedően népszerű Dropbox online tárhely rendszer úgy fest, átverte felhasználóit a fájlok biztonságával kapcsolatban. A valóság nem olyan vészes, de az amerikai hatóság tisztességtelen piaci magatartást gyanít.

hirdetés

A Szövetségi Kereskedelmi Bizottság (FTC) hivatalosan is vádat fogalmazott meg a Dropbox ellen, amiért az azt állította a felhasználóinak, hogy a fájljaik titkosítottak és még a Dropbox munkatársai sem férhetnek hozzájuk. Ehhez képest múlt hónapban Christopher Soghioan, biztonsági és személyiségi jogi szakértő olyan adatokat tett közzé, ami ennek ellenkezőjét bizonyítja. A megbízhatónak ítélt rendszerben tárolt fájlok ugyanúgy hozzáférhetőek lehetnek egy amerikai kormányzati keresésnél, ahogyan a kíváncsi Dropbox-dolgozók számára, de még a szerzői jogi pereket erőltető cégek is képbe kerülhetnek.

Soghoian, aki egyébként az FTC-nél dolgozott egy éven keresztül, tehát nem csak egy lelkes amatőr, azt állítja, hogy a Dropbox “folyamatosan megtévesztő nyilatkozatokat tett közzé a felhasználók felé, azt állítva, hogy megvédi és titkosítja a nála tárolt adatokat”. Ez pedig az Egyesült Államokban is kimeríti a megtévesztő piaci magatartás fogalmát, ami miatt az eljárás indult a cég ellen. A Dropbox a Wirednek tett nyilatkozatában elutasítja a vádakat, a cég szerint egy régi vitát vesz elő újra, amit már egy korábbi hivatalos blogbejegyzésben is tisztáztak. Julie Supan, a Dropbox szóvivője védi a mundér becsületét, s állítja: “emberek milliói függnek a szolgáltatásunktól minden nap és keményen dolgozunk, hogy biztonságban tartsuk adataikat”.

Tegnap még mást mondtál

A pánik eredetileg akkor kezdődött, amikor a Dropbox a weboldalán olvasható lévő tájékoztató szöveget módosította. Az eredeti szövegben az állt, hogy “Minden, a Dropbox szerverén tárolt fájl AES256 titkosítással kódolt és hozzáférhetetlen a jelszavad nélkül”. Az új verzióban viszont az utóbbi kitétel már nem szerepel, azaz lehet, hogy titkosítva van, de nem a jelszó nyitja a zárat. Soghoian szerint a különbség igen fontos és kritikus.

A Dropbox úgy spórol a tárhellyel, hogy elemzi a felhasználók fájljait mielőtt azok feltöltésre kerülnek, s egy hash lenyomatot készít mindegyikről, ami bármilyen állományra egyedi azonosítást tesz lehetővé annak tartalma alapján. Ha egy másik Dropbox-felhasználónak is már megvan ugyanaz a fájl (azonos hash), akkor a Dropbox nem tárolja még egyszer, egyszerűen csak hozzáadja a felhasználó mappájához. Ebből egyértelmű már önmagában is, hogy a Dropbox-fiókok titkosítása csak a szerveren történik, s a kódoláshoz és dekódoláshoz szükséges kulcsok nem a felhasználónál vannak, hanem a szolgáltató kezében. Ez viszont azt jelenti, hogy hiába a titkosítás, a szolgáltató képes hozzáférni az adatokhoz.

Elvben szigorú a belső rend

A Dropbox szóvivője szerint ez eddig is így volt kommunikálva, a vád viszont, hogy a dolgozók vagy a cégen belül bárki hozzáférhet az adatokhoz, nem igaz. Szigorú előírások és jogosultságkezelés van a cégen belül, ami lehetetlenné teszi az illetéktelen hozzáférést. Arról viszont a szóvivő már nem beszélt, hogy akkor pontosan kinek a kezében van a kulcs és milyen mechanizmusok akadályozzák meg a fájlokkal való visszaélést.

A hallgatás főleg amiatt furcsa, hogy a weboldalon egy másik szöveg is frissült. Korábban ez szerepelt a leírásban: “A Dropbox-alkalmazottak nem képesek hozzáférni a felhasználók fájljaihoz, amikor ügyfélproblémát orvosolnak, akkor is csak a fájlok metaadatait érik el (fájlnév, méretek, stb). Ehhez képest az új szöveg úgy hangzik, hogy “A Dropbox-alkalmazottaknak nincs engedélyezve, hogy a Dropbox-fiókban tárolt fájlok tartalmát megnézzék, kizárólag a fájlok metaadatait szabad látniuk.”

Nem mindegy, hogy tanya a bakonyban...

A kettő között ismét árnyalatnyi, de nagyon fontos különbség van. Korábban a cég azt állította, hogy lehetetlen a hozzáférés, most pedig azt, hogy nem engedélyezett, ami ara enged következtetni, hogy elméletileg lehetséges. Így egy rosszindulatú Dropbox munkásnak feltételezhetően lehetősége van visszaélni, illetve a titkosítás rendszerét ismerve, elméletben akár állami szervezetek felkérésére is lehetséges megnyitni a fájlokat.

A Dropbox most hiába mentegetőzik azzal, hogy több másik online tárhelyet kínáló szolgáltatónál is hasonló gyakorlat van érvényben, az tény, hogy félrevezették, összezavarták a felhasználókat, beleértve az IT-biztonsági szakértőket is. Körülbelül egy hónappal ezelőtt Jon Callas, a PGP Corporation korábbi műszaki vezetője, elismert titkosításguru is kifakadt, miszerint a fájlok nem titkosítottak (legalábbis nem a felhasználó gépén) és kiadhatóak bárkinek. Emellett félrevezető volt az is, hogy a Dropbox azt állította, hogy a mobil kliens https kapcsolaton keresztül kommunikál, de valójában a felhasználó eszköze és a szerver között titkosítás nélkül utaznak az adatok.

Beismerés

Soghoian volt munkaadóját, az FTC-t arra kéri, hogy kényszerítse rá a Dropboxot arra, hogy még alaposabban tisztázza az adatvédelmi gyakorlatot a weboldalán szereplő leírásokban, vegye fel a kapcsolatot az összes felhasználóval és mondja el nekik, hogy bármikor láthatóak a szervereken tárolt adatok számukra, illetve ezen felül kínáljon a Pro felhasználóknak pénz visszafizetési lehetőséget.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
A IT-üzemeltetők világnapján egy teljes security meetup, számos szórakoztató program, és Felméri Péter standupja várja az érdeklődőket az Ankertbe.