Krytyka Dropboxa
Krytyka Dropbox , amerykańskiej firmy specjalizującej się w przechowywaniu w chmurze i synchronizacji plików oraz ich sztandarowej usłudze o tej samej nazwie , koncentruje się wokół różnych form kontrowersji związanych z bezpieczeństwem i prywatnością . Problemy obejmują problem z uwierzytelnianiem z czerwca 2011 r., który umożliwiał dostęp do kont przez kilka godzin bez hasła; aktualizacja polityki prywatności z lipca 2011 r. zawierająca sformułowania sugerujące, że Dropbox był właścicielem danych użytkowników; obawy dotyczące dostępu pracowników Dropbox do informacji o użytkownikach; spam e-mailowy z lipca 2012 r., który powtórzył się w lutym 2013 r.; w czerwcu 2013 r. wyciekły dokumenty rządowe z informacją, że rozważano włączenie Dropbox do programu nadzoru PRISM Agencji Bezpieczeństwa Narodowego ; komentarz informatora NSA, Edwarda Snowdena, z lipca 2014 r. , krytykujący szyfrowanie Dropbox; wyciek 68 mln haseł do kont w Internecie w sierpniu 2016 r.; oraz przypadek przypadkowego przywrócenia danych ze stycznia 2017 r., w wyniku którego rzekomo usunięte pliki sprzed lat ponownie pojawiły się na kontach użytkowników.
Informacje o pliku uwierzytelniania użytkownika z kwietnia 2011 r
Dropbox został skrytykowany przez niezależnego badacza bezpieczeństwa Dereka Newtona, który napisał w kwietniu 2011 r., Że Dropbox przechowywał informacje uwierzytelniające użytkownika w pliku na komputerze, który był „całkowicie przenośny i nie jest w żaden sposób powiązany z systemem ” . Wyjaśniając problem, Newton napisał: „Oznacza to, że jeśli uzyskasz dostęp do pliku config.db danej osoby (lub tylko host_id), uzyskasz pełny dostęp do Dropbox tej osoby do czasu, gdy ta osoba usunie hosta z listy połączonych urządzeń za pośrednictwem interfejsu internetowego Dropbox”. Zaktualizował swój post w październiku 2011 r., Aby napisać, że „Dropbox ma wersję 1.2.48, która wykorzystuje zaszyfrowaną lokalną bazę danych i podobno wprowadza ulepszenia bezpieczeństwa, aby zapobiec kradzieży danych uwierzytelniających maszyny”. Raport The Next Web zawierał komentarz Dropbox, w którym nie zgodzili się z Newtonem, że temat był luką w zabezpieczeniach, wyjaśniając, że „Badacz twierdzi, że atakujący mógłby uzyskać dostęp do konta Dropbox użytkownika, gdyby był w stanie uzyskać fizyczny dostęp do komputera użytkownika. W rzeczywistości w momencie, gdy osoba atakująca ma fizyczny dostęp do komputera, bitwa o bezpieczeństwo jest już przegrana. [...] ta „wada” występuje w każdej usłudze, która wykorzystuje pliki cookie do uwierzytelniania (praktycznie każda usługa internetowa).”
Maj 2011 Deduplikacja danych i dostęp dla pracowników
Federalnej Komisji Handlu Stanów Zjednoczonych złożono skargę, w której zarzucono, że Dropbox wprowadzał użytkowników w błąd co do prywatności i bezpieczeństwa ich plików. Istotą skargi była polityka deduplikacji danych , w ramach której system sprawdza, czy plik nie został wcześniej przesłany przez innego użytkownika, a jeśli tak, odsyła do istniejącej kopii; oraz zasady używania jednego klucza AES-256 dla każdego pliku w systemie, aby Dropbox mógł (i robi to w celu deduplikacji) przeglądać zaszyfrowane pliki przechowywane w systemie, co w konsekwencji powoduje, że każdy intruz, który zdobędzie klucz (a także potencjalni pracownicy Dropbox) mogliby odszyfrować dowolny plik, gdyby mieli dostęp do infrastruktury pamięci masowej zaplecza Dropbox. W odpowiedzi na swoim blogu Dropbox napisał, że „Podobnie jak większość głównych usług online, mamy niewielką liczbę pracowników, którzy muszą mieć dostęp do danych użytkownika, gdy jest to prawnie wymagane. Ale to wyjątek, a nie reguła. ścisła polityka i techniczne kontrole dostępu, które zabraniają dostępu pracownikom, z wyjątkiem tych rzadkich okoliczności. Ponadto stosujemy szereg fizycznych i elektronicznych środków bezpieczeństwa w celu ochrony informacji użytkownika przed nieautoryzowanym dostępem”. W odpowiedzi na skargę FTC rzeczniczka Dropbox, Julie Supan, powiedziała InformationWeek , że „Uważamy, że ta skarga jest bezpodstawna i porusza kwestie, które zostały omówione w naszym poście na blogu z 21 kwietnia”.
Czerwiec 2011 dostęp do konta bez hasła
20 czerwca 2011 r. TechCrunch poinformował, że dostęp do wszystkich kont Dropbox można uzyskać bez hasła przez cztery godziny. W poście na blogu współzałożyciel, Arash Ferdowsi, napisał: „Wczoraj o 13:54 czasu pacyficznego dokonaliśmy aktualizacji kodu, która wprowadziła błąd wpływający na nasz mechanizm uwierzytelniania. Odkryliśmy to o 17:41, a poprawka była dostępna o 17:46 Bardzo mała liczba użytkowników (znacznie mniej niż 1 procent) zalogowała się w tym okresie, z których niektórzy mogli zalogować się na konto bez poprawnego hasła. Jako środek ostrożności zakończyliśmy wszystkie zalogowane sesje." Napisał, że prowadzone jest „dokładne dochodzenie” i że „to nigdy nie powinno się zdarzyć. Badamy nasze kontrole i będziemy wdrażać dodatkowe zabezpieczenia, aby zapobiec powtórzeniu się takiej sytuacji”. Julianne Pepitone, pisząca dla CNNMoney , napisała, że „to koszmarny scenariusz bezpieczeństwa: strona internetowa wypełniona poufnymi dokumentami pozostawia wszystkie dane swoich klientów bez ochrony i ujawnienia” i zamieściła komentarz Dave'a Aitela, prezesa i dyrektora generalnego firmy zajmującej się bezpieczeństwem Immunity Inc. , mówiąc: „Jakiekolwiek zaufanie do chmury to zbyt duże zaufanie do chmury — to takie proste. […] Wśród specjalistów ds. rozdać."
Lipiec 2011 Aktualizacja Polityki Prywatności
W lipcu 2011 r. firma Dropbox zaktualizowała swoje Warunki świadczenia usług, Politykę prywatności i Omówienie zabezpieczeń. Nowa Polityka prywatności wywołała krytykę, jak zauważył Christopher White w Neowin , w którym napisał, że „Próbowali zredukować część nudnego języka prawniczego, aby ułatwić zrozumienie zwykłym ludziom. Wydaje się, że im się udało w tej misji iw trakcie przejęli własność każdego pliku, który korzysta z ich usług”. Cytując akapit w zaktualizowanej Polityce prywatności, że Dropbox potrzebuje zgody użytkownika na „wykorzystywanie, kopiowanie, dystrybucję, przygotowywanie prac pochodnych (takich jak tłumaczenia lub konwersje formatów) danych użytkownika, wykonywanie lub publiczne wyświetlanie”, White napisał, że „ta szeroka terminologia jest przerażająca dla użytkowników końcowych, ponieważ wyraźnie pozwala Dropboxowi przejąć czyjąś pracę, niezależnie od tego, czy są to zdjęcia, dzieła beletrystyki czy badania naukowe, i daje firmie prawo do robienia wszystkiego, co zechce, bez możliwości regresu ze strony pierwotnego właściciela”. Po tym, jak użytkownicy wyrazili obawy dotyczące zmiany, Dropbox ponownie zaktualizował swoje zasady, dodając: „Ta licencja ma na celu wyłącznie umożliwienie nam technicznego administrowania, wyświetlania i obsługi Usług”. White podsumował, pisząc, że „Chociaż jest to krok we właściwym kierunku, nadal nie ma sensu, dlaczego produkt używany do przenoszenia plików z jednego komputera na drugi potrzebuje możliwości„ przygotowania dzieł pochodnych ”czyichkolwiek plików. "
Spam e-mailowy z lipca 2012 r. i ponowne wystąpienie z lutego 2013 r
W lipcu 2012 r. Dropbox zatrudnił „zewnętrznych ekspertów”, aby dowiedzieć się, dlaczego niektórzy użytkownicy otrzymywali spam e-mail od Dropbox. W poście na swoim blogu pracownik Dropbox, Aditya Agarwal, napisał, że „nazwy użytkowników i hasła skradzione niedawno z innych stron internetowych były używane do logowania się na niewielką liczbę kont Dropbox. Skontaktowaliśmy się z tymi użytkownikami i pomogliśmy im chronić ich konta”. Jednak Agarwal zauważył również, że „skradzione hasło zostało również użyte w celu uzyskania dostępu do konta Dropbox pracownika zawierającego dokument projektu z adresami e-mail użytkowników. Uważamy, że ten niewłaściwy dostęp doprowadził do spamu. Przykro nam z tego powodu i wprowadziliśmy dodatkowe kontrole, aby upewnić się, że to się więcej nie powtórzy”. Jedną z dodatkowych wdrożonych kontroli było wprowadzenie uwierzytelniania dwuskładnikowego . W lutym 2013 r. Użytkownicy zgłosili dodatkowy spam, a firma stwierdziła, że „w tej chwili nie widzieliśmy niczego, co sugerowałoby, że jest to nowy problem” i obwiniła wcześniejszy problem ze spamem e-mail z lipca ubiegłego roku.
Czerwiec 2013 Program PRISM
W czerwcu 2013 r. The Guardian i The Washington Post opublikowały poufne dokumenty sugerujące, że rozważa się włączenie Dropbox do tajnego programu nadzoru internetowego PRISM Agencji Bezpieczeństwa Narodowego .
Awaria w styczniu 2014 r
11 stycznia 2014 r. nastąpiła awaria usługi Dropbox. Grupa hakerów o nazwie The 1775 Sec napisała na Twitterze , że włamała się na stronę Dropbox „na cześć aktywisty internetowego i programisty komputerowego Aarona Swartza , który rok temu popełnił samobójstwo”. Jednak sam Dropbox opublikował na Twitterze, że „Witryna Dropbox została utworzona! Twierdzenia o wycieku informacji o użytkowniku to mistyfikacja. Awaria została spowodowana podczas wewnętrznej konserwacji. Dziękujemy za cierpliwość!” W poście na blogu szczegółowo opisującym problem, Akhil Gupta z Dropbox napisał, że „W piątek o 17:30 czasu pacyficznego mieliśmy zaplanowaną konserwację aktualizacji systemu operacyjnego na niektórych naszych komputerach. Podczas tego procesu skrypt aktualizacji sprawdza, czy na komputerze nie ma aktywnych danych przed zainstalowaniem nowego systemu operacyjnego. Subtelny błąd w skrypcie spowodował, że polecenie ponownie zainstalowało niewielką liczbę aktywnych komputerów. Niestety, wpłynęło to na niektóre pary master-replika, co spowodowało awarię witryny. Gupta zauważył również, że „Twoje pliki nigdy nie były zagrożone podczas awarii”.
Kwiecień 2014 Condoleezza Rice powołanie do zarządu
W kwietniu 2014 r. Dropbox ogłosił, że Condoleezza Rice dołączy do ich rady dyrektorów, co wywołało krytykę ze strony niektórych użytkowników, którzy byli zaniepokojeni jej nominacją ze względu na jej historię jako sekretarza stanu Stanów Zjednoczonych i doniesienia o „powszechnym podsłuchiwaniu obywateli USA w jej czasach w urzędzie" . RiceHadleyGates, firma konsultingowa składająca się z Rice, byłego doradcy ds. bezpieczeństwa narodowego USA Stephena Hadleya i byłego sekretarza obrony USA Roberta Gatesa , wcześniej doradzała Dropbox.
W maju 2014 r. Dropbox tymczasowo wyłączył udostępniane łącza. W poście na blogu firma szczegółowo opisała scenariusz dotyczący luk w zabezpieczeniach sieci, w którym udostępnianie dokumentów zawierających hiperłącza spowodowałoby, że oryginalne udostępnione łącze Dropbox stałoby się dostępne dla właściciela witryny, gdyby użytkownik kliknął hiperłącze znajdujące się w dokumencie. Niektóre typy udostępnianych łączy pozostawały wyłączone przez kilka następnych tygodni, aż w końcu Dropbox wprowadził zmiany w funkcjonalności.
Lipiec 2014 Komentarz Snowdena
W wywiadzie z lipca 2014 roku były wykonawca NSA, Edward Snowden , nazwał Dropbox „wrogim wobec prywatności”, ponieważ jego model szyfrowania umożliwia firmie przekazywanie danych użytkowników agencjom rządowym i zalecił zamiast tego korzystanie z konkurencyjnej usługi SpiderOak . W odpowiedzi rzeczniczka Dropbox stwierdziła, że „Ochrona informacji naszych użytkowników jest najwyższym priorytetem w Dropbox. W naszej polityce prywatności zobowiązaliśmy się do sprzeciwiania się powszechnym prośbom rządowym i walczymy o zmianę prawa, tak aby podstawowe środki ochrony prywatności były w miejsce dla użytkowników na całym świecie”.
Oszustwo związane z przejęciem konta w październiku 2014 r
W październiku 2014 r. Anonimowy użytkownik Pastebin twierdził, że naruszył „prawie siedem milionów” nazw użytkowników i haseł Dropbox, stopniowo publikując informacje. Jednak w poście na blogu Dropbox stwierdził: „Najnowsze artykuły, w których twierdzi się, że Dropbox został zhakowany, nie są prawdziwe. Twoje rzeczy są bezpieczne. Nazwy użytkowników i hasła, o których mowa w tych artykułach, zostały skradzione z niepowiązanych usług, a nie z Dropbox. [...] Kolejna lista nazw użytkowników i haseł została opublikowana online. Sprawdziliśmy i nie są one powiązane z kontami Dropbox”.
Długi ciąg ( ponad 750 komentarzy ) komentarzy na własnym forum wsparcia Dropbox rozpoczął się w grudniu 2014 r., kiedy to Dropbox wprowadził pakiety przechowywania danych o pojemności 1 TB. Tytuł napisu „Czy możemy mieć plany mniejsze niż 1 TB?” ma długą listę użytkowników Dropbox wyrażających obawy, że nie są w stanie zwiększyć swojego planu z bezpłatnego planu 2 GB o inne przyrosty niż 1 TB. 2020 minimalna płatna pojemność konta do przechowywania danych wynosi 2 TB, co powoduje stopniowy wzrost z bezpłatnego konta do minimalnego płatnego planu 2 TB, a komentarze z prośbą o mniejsze plany wciąż napływają.
W tekście bardziej doświadczeni komentatorzy wyjaśniają, że nagroda za minimalny pakiet danych 2 TB nie odzwierciedla ilości przechowywanych danych, ale raczej sumę oferowanych usług obsługi danych. Wywołuje to krytykę ze strony użytkowników, którzy korzystali z Dropbox tak długo, że migracja do innej usługi w chmurze jest praktycznie niemożliwa z powodu dużej liczby wychodzących udostępnionych plików za pośrednictwem łączy Dropbox z ich folderu Dropbox, jednej z początkowych oferowanych usług, co wiąże użytkowników z albo darmowe konto 2 GB , albo płatny plan minimum 2 TB, jeśli chcą zachować publiczny dostęp do swoich plików z linków Dropbox już udostępnionych w Internecie.
Wyciek hasła w sierpniu 2016 r
W sierpniu 2016 r. w Internecie opublikowano adresy e-mail i hasła do 68 milionów kont Dropbox, a informacje te pochodzą z problemu ze spamem e-mail z 2012 r. Niezależny badacz bezpieczeństwa, Troy Hunt, sprawdził bazę danych na swojej stronie internetowej, na której wyciekły dane, i zweryfikował dane, odkrywając, że zarówno konta należące do niego, jak i do jego żony zostały ujawnione. Hunt skomentował, że „Nie ma żadnych wątpliwości, że naruszenie danych zawiera legalne hasła do Dropbox, po prostu nie można sfabrykować tego rodzaju rzeczy”. W poście na blogu Dropbox stwierdził: „Lista adresów e-mail z zahaszowanymi i solonymi hasłami jest prawdziwa, jednak nic nie wskazuje na to, że dostęp do kont użytkowników Dropbox był niewłaściwie uzyskiwany. Bardzo nam przykro, że tak się stało i chcielibyśmy wyjaśnić, o co chodzi. dziać się." Firma przedstawiła szczegóły, że informacje „prawdopodobnie uzyskano w 2012 r.”, Kiedy firma po raz pierwszy usłyszała o liście dwa tygodnie wcześniej, kiedy to natychmiast rozpoczęła dochodzenie. „Następnie wysłaliśmy e-maile do wszystkich użytkowników, których naszym zdaniem dotyczyło to, i zakończyliśmy resetowanie hasła dla każdego, kto nie aktualizował swojego hasła od połowy 2012 r. Ten reset gwarantuje, że nawet jeśli te hasła zostaną złamane, nie będzie można ich użyć do uzyskania dostępu do kont Dropbox ”.
Przypadkowe przywrócenie danych ze stycznia 2017 r
W styczniu 2017 r. Dropbox przywrócił rzekomo usunięte pliki i foldery na kontach użytkowników sprzed lat. W jednym przykładzie użytkownik zgłosił, że powróciły foldery z 2011 i 2012 roku. Wyjaśniając problem, pracownik Dropbox napisał na swoim forum, że „Błąd uniemożliwiał całkowite usunięcie niektórych plików i folderów z naszych serwerów, nawet po tym, jak użytkownicy usunęli je ze swoich kont Dropbox. Podczas naprawiania błędu nieumyślnie przywróciliśmy plików i folderów, których dotyczy problem, na kontach tych użytkowników. To był nasz błąd; nie było to spowodowane przez stronę trzecią i nie doszło do włamania. Zwykle trwale usuwamy pliki i foldery z naszych serwerów w ciągu 60 dni od usunięcia ich przez użytkownika Jednak usunięte pliki i foldery, których dotyczył ten błąd, miały metadanych . Dlatego poddaliśmy je kwarantannie i wykluczyliśmy z procesu trwałego usuwania, dopóki metadane nie zostaną naprawione”.
Analiza anonimowych danych z lipca 2018 r
Harvard Business Review artykuł na temat analizy nawyków dziesiątek tysięcy naukowców z wykorzystaniem anonimowych danych dostarczonych przez Dropbox. Wykorzystane dane obejmowały okres od maja 2015 do maja 2017 od wszystkich naukowców korzystających z platformy z 1000 uniwersytetów. Osobiste nazwiska dołączone do danych zostały usunięte przez Dropbox, ale według Caseya Fieslera, naukowca z Colorado University, udostępnione tytuły folderów i struktury plików mogą służyć do identyfikacji osób. Dropbox, później w poście na blogu, powiedział, że odwrotna identyfikacja danych jest niemożliwa. Dane zostały przekazane bez wyraźnej zgody 16 tys. osób, do których uzyskano dostęp.
Luty 2021 zarzuty byłych pracowników dotyczące dyskryminacji ze względu na płeć
W lutym 2020 r. firma VentureBeat pozyskała dokument zawierający wywiady z 16 obecnymi i byłymi pracownikami Dropbox, którzy zostali uznani za ofiary dyskryminacji ze względu na płeć. Osoby, o których mowa w raporcie, wskazują na przykłady dyskryminacji, takie jak „zmiana standardów awansów, nierówne wynagrodzenie, cofnięcie się w karierze zawodowej po urlopie macierzyńskim i doświadczanie odwetu, gdy kierują swoje sprawy do HR”. W raporcie wyszczególniono również przypadki rzekomego nękania i degradacji po tym, jak pracownicy złożyli skargę w Dropbox HR lub wrócili do pracy po urlopie macierzyńskim.