понедельник, 16 мая 2011 г.

Dropbox врал пользователям о защите данных, подана жалоба в FTC

Против компании Dropbox подана жалоба (PDF) в Федеральную торговую комиссию с требованием разбирательства по поводу обмана 25 млн пользователей этого хостинга. С момента начала своей деятельности Dropbox заявляла, что их сотрудники не имеют возможности получить доступ к зашифрованным файлам пользователей. В справочном разделе было написано, что «все файлы зашифрованы AES-256 и не могут быть расшифрованы без вашего пароля».

Недавно выяснилось, что это не так. Оказалось, что сотрудники Dropbox могут расшифровывать файлы, если сочтут это необходимым. 13 апреля 2011 года вторая часть предложения (выделена курсивом) была удалена из справочного раздела.

Кроме того, были изменены другие формулировки справочного раздела:

Старая формулировка: «Сотрудники Dropbox не имеют доступа к пользовательским файлам, и в случае возникновения проблем они могут увидеть только метаданные (имена файлов, размер файлов и др., но не контент)» / Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents).

Новая формулировка: «Сотрудникам Dropbox запрещено просматривать контент файлов, которые хранят пользователи в своих папках, им разрешено только просматривать метаданные, такие как имена файлов и пути» / Dropbox employees are prohibited from viewing the content of files you store in your Dropboxaccount, and are only permitted to view file metadata (e.g., file names and locations).

Также добавлен текст с объяснением: мол, как и в большинстве онлайновых сервисов, доступ к пользовательским данным имеет «небольшое количество сотрудников» Dropbox и они делают это в редких случаях, описанных в политике приватности.

По мнению автора жалобы в FTC Кристофера Согояна (Christopher Soghoian), компания Dropbox нечестным путём получила преимущество перед конкурентами, которые действительно осуществляют надёжную криптографическую защиту файлов.

Официальный ответ компании Dropbox на поданное заявление состоит в том, что выдвигаемые претензии «устарели», а ситуация была разъяснена в официальном блоге Dropbox в сообщении от 21 апреля. Позиция Dropbox сводится к тому, что они никогда не утверждали, что не хранят у себя криптографические ключи, то есть якобы никого не обманывали.

Как известно, алгоритм работы Dropbox основан на сравнении хэшей каждого закачиваемого файла с теми, которые уже хранятся на хостинге. То есть содержимое файла всё равно анализируется, даже если этот файл хранится на сервере в зашифрованном виде. С помощью модификации программы, эксплуатирующей функции закрытого протокола Dropbox можно легко убедиться, есть определённый файл в ящике у кого-нибудь из 25 млн пользователей Dropbox или нет.

Хотя существует схема, как находить дубликаты без расшифровки файла на сервере, но Dropbox, судя по всему, работает не так элегантно. Такой вывод можно сделать исходя из того, что они хранят у себя ключи.

В то же время конкуренты Dropbox, онлайновые хостинги SpiderOak и Wuala даже теоретически не имеют доступа к файлам пользователя, потому что не хранят ключи. Таким образом, они не могут определять дубликаты и вынуждены тратить больше ресурсов на хранение пользовательских файлов, платя полную цену за безопасность пользователей (видимо, они тоже не додумались до вышеупомянутой схемы или усмотрели в ней изъяны).

По мнению Согояна, своими заявлениями о защите пользовательской информации Dropbox до сих вводит в заблуждение пользователей, ведь в справочном разделе дор сих пор говорится, что Dropbox «использует такие же методы безопасности, как у банков и военных», «файлы на Dropbox могут быть в большей безопасности, чем на вашем домашнем компьютере». Он требует от FTC заставить Dropbox чётко разъяснить на своём сайта условия защиты данных, разослать письмо каждому пользователю Dropbox с чётким объяснением, что компания имеет возможность просмотра содержимого его файлов, выплатить возмещение пользователям платных аккаунтов и запретить использование обманных заявлений в будущем.


Источник: Хабрахабр - Информационная безопасность
Оригинальная страница: Dropbox врал пользователям о защите данных, подана жалоба в FTC

Комментариев нет:

Отправить комментарий