Пользователь
30,2
рейтинг
16 мая 2011 в 14:59

Разработка → Dropbox врал пользователям о защите данных, подана жалоба в FTC

Против компании Dropbox подана жалоба (PDF) в Федеральную торговую комиссию с требованием разбирательства по поводу обмана 25 млн пользователей этого хостинга. С момента начала своей деятельности Dropbox заявляла, что их сотрудники не имеют возможности получить доступ к зашифрованным файлам пользователей. В справочном разделе было написано, что «все файлы зашифрованы AES-256 и не могут быть расшифрованы без вашего пароля».

Недавно выяснилось, что это не так. Оказалось, что сотрудники Dropbox могут расшифровывать файлы, если сочтут это необходимым. 13 апреля 2011 года вторая часть предложения (выделена курсивом) была удалена из справочного раздела.

Кроме того, были изменены другие формулировки справочного раздела:

Старая формулировка: «Сотрудники Dropbox не имеют доступа к пользовательским файлам, и в случае возникновения проблем они могут увидеть только метаданные (имена файлов, размер файлов и др., но не контент)» / Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents).

Новая формулировка: «Сотрудникам Dropbox запрещено просматривать контент файлов, которые хранят пользователи в своих папках, им разрешено только просматривать метаданные, такие как имена файлов и пути» / Dropbox employees are prohibited from viewing the content of files you store in your Dropbox account, and are only permitted to view file metadata (e.g., file names and locations).

Также добавлен текст с объяснением: мол, как и в большинстве онлайновых сервисов, доступ к пользовательским данным имеет «небольшое количество сотрудников» Dropbox и они делают это в редких случаях, описанных в политике приватности.

По мнению автора жалобы в FTC Кристофера Согояна (Christopher Soghoian), компания Dropbox нечестным путём получила преимущество перед конкурентами, которые действительно осуществляют надёжную криптографическую защиту файлов.

Официальный ответ компании Dropbox на поданное заявление состоит в том, что выдвигаемые претензии «устарели», а ситуация была разъяснена в официальном блоге Dropbox в сообщении от 21 апреля. Позиция Dropbox сводится к тому, что они никогда не утверждали, что не хранят у себя криптографические ключи, то есть якобы никого не обманывали.

Как известно, алгоритм работы Dropbox основан на сравнении хэшей каждого закачиваемого файла с теми, которые уже хранятся на хостинге. То есть содержимое файла всё равно анализируется, даже если этот файл хранится на сервере в зашифрованном виде. С помощью модификации программы, эксплуатирующей функции закрытого протокола Dropbox можно легко убедиться, есть определённый файл в ящике у кого-нибудь из 25 млн пользователей Dropbox или нет.

Хотя существует схема, как находить дубликаты без расшифровки файла на сервере, но Dropbox, судя по всему, работает не так элегантно. Такой вывод можно сделать исходя из того, что они хранят у себя ключи.

В то же время конкуренты Dropbox, онлайновые хостинги SpiderOak и Wuala даже теоретически не имеют доступа к файлам пользователя, потому что не хранят ключи. Таким образом, они не могут определять дубликаты и вынуждены тратить больше ресурсов на хранение пользовательских файлов, платя полную цену за безопасность пользователей (видимо, они тоже не додумались до вышеупомянутой схемы или усмотрели в ней изъяны).

По мнению Согояна, своими заявлениями о защите пользовательской информации Dropbox до сих вводит в заблуждение пользователей, ведь в справочном разделе дор сих пор говорится, что Dropbox «использует такие же методы безопасности, как у банков и военных», «файлы на Dropbox могут быть в большей безопасности, чем на вашем домашнем компьютере». Он требует от FTC заставить Dropbox чётко разъяснить на своём сайте условия защиты данных, разослать письмо каждому пользователю Dropbox с чётким объяснением, что компания имеет возможность просмотра содержимого его файлов, выплатить возмещение пользователям платных аккаунтов и запретить использование обманных заявлений в будущем.
Анатолий Ализар @alizar
карма
749,5
рейтинг 30,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (82)

  • НЛО прилетело и опубликовало эту надпись здесь
  • +6
    Всегда заливал, что на DB, что на Wuala — только GPG-шифрованное барахло. Да, менее удобно.
    • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        FilimoniC, наверно, имеет ввиду, что не очень доверяет заявлениям отдельных компаний. Вот с DB он оказался прав.
        • +3
          Я в том смысле, что не доверяю изначально, вот и шифрую все GPG перед отправкой.
          Вынужден доверять GPG и TrueCrypt
      • 0
        Wuala облачна. Причем половина облака это сама Wuala, а вторая (зеркало) состоит из пользовательских компьютеров. Таким образом данные и там и там
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Я уверен, что это так и есть. Потому GPG или TrueCrypt — и вперед
    • 0
      с телефона тогда уже не посмотришь содержимое, это тоже бывает важно
      • 0
        не увидел комментарий ниже про то, что есть GPG клиент под android. под iphone ничего подобного не видел(
    • 0
      А я просто не заливаю ничего такого чего хотел бы от кого-то скрывать. Чего хотел бы скрывать — ношу на флешке, а если будет приступ паронойи — зашифрую флешку трукриптом.
      • 0
        Ну, видимо флешки вы никогда не теряли.
        В свое время от руководителя даже постапало задание «Сегодня к нам прийдут такая-то фирма с деловым предложением. Будут показывать презентацию. Пока их флешка торчит, надо, чтобы с нее все слилось в автоматическом режиме и незаметно.»
  • +1
    Проще сделать TrueCrypt контейнер например и его уже заливать. Единственный минис надо не забывать его отмонтировать, что бы он залился на дропбокс.
    • –1
      Еще один минус — если контейнер большой, то каждый раз будет заливаться весь контейнер, даже если в нем был изменен один бит. Но в целом — надежнее, да.
      • 0
        Ну никто же не говорит что надо абсолютно все держать в контейнере. Только критичные данные.

        И сейчас еще пришел к выводу что минусом контейнера является невозможность доступа к файлом с мобильных устройств.
        • +1
          Лучше GPG в данном случае. У неё есть клиент для Android.
      • +1
        а и DB не инкрементальная заливка, разве?
        • +4
          Контейнер TC меняется сразу во многих местах, дифференцирование (нахождение отличий) не срабатывает достаточно успешно
          • +1
            В каких многих местах? Шифрование там блочное ЕМНИП. Сами данные и структуры файловой системы, что еще?
            • 0
              а если я увеличу файл, лежаший в начале контейнера, на 1 байт?
              • +2
                Файл увеличится на 1 байт, и что? В какое место контейнера будет записан этот байт, зависит от ФС.
                • 0
                  Вы еще учтите atime, diratime, mtime и прочие «вкусности» вроде thimbnails.db, всяких временных файлов (от которых содержимое носителя меняется) и прочего
      • +1
        Под Линуксом можно использовать cryptofs, тогда этой проблемы не будет.
        • +1
          Если вы имеете ввиду ecryptfs, то лучше не его а encfs. С ecryptfs есть некоторые проблемы при использовании его с Dropbox.
      • +1
        От «отмонтирования» может спасти либо BITS-архивация (технология MS), либо создание другого контейнера. раз в час скопировали из контейнера А (кА) в кБ, отмонтировали кБ, синхронизировали
        • 0
          2 контейнера на одном ключе с малым различием — просто рай для криптоанализа.
      • 0
        рекомендую для этого EncFS
    • 0
      так ведь каждый раз будет весь контейнер заново закачиваться на сервер…
      • +1
        Можно сделать его поверх raid0 из большого количества файлов, и заливать на DropBox уже эти файлы.
      • +3
        Предлагаю EncFs. Вроде то что надо делает и льёт только файлы, которые поменялись.
        • +1
          Поддерживаю. Сам так использую уже давно.
    • 0
      При постоянном закачивании контейнера с одним и тем же ключем существует вероятность расшифровать сам ключ. Но как полумера для домашних данных данный алгоритм подходит.
    • +1
      Вы знаете, может я чего-то не досмотрел… В общем, гоняю таким образом пару контейнеров, общим размеров что-то около 150 мб. Что удивительно, при заливке измененного контейнера, заливалось что-то около мегабайта, при это действительно, контейнер был обновлен, и на другую машину он уже сливался обновленным (правки файлов внутри контейнера делались совсем незначительные). После этого я уже начал думать неладное, но добраться и проверить полностью еще не успел
      • 0
        а что здесь неладного?
        • 0
          Ну выше все талдычат о полной перезаливке файла при изменении одного бита, до последнего момента я тоже так думал, ну или точнее, просто не обращал на это внимание… Тут варианта два — или я все же гоню, или оно так и есть, и каким-то способом заливаются только изменения куском. Надо будет поэкспериментировать.
          • 0
            Возможно, что большие файлы логически бьются на меньшие куски (как в торрентах) и от них берется контрольная сумма, а потом на сервер заливаются только изменившиеся части. Но мне казалось, что DB этого не делает. Возможно что я и ошибаюсь.
            • +1
              Вы ошибаетесь.
              Во-первых, TrueCrypt контейнер изменяется по блокам, и при небольших изменениях содержимого меняется только часть файла-контейнера. Это легко проверить самому.
              Во-вторых, Dropbox заливает только изменения, и тоже по блокам. Иначе трафик у них был бы гораздо бóльшим.
              • 0
                Да, то что TrueCrypt меняет контейнер по блокам я в курсе, но то, что Dropbox заливает по блокам я не знал.
                • 0
                  Ну а как еще искать повторяющиеся куски? Проверять произвольные диапазоны — долго, дорого и трафика много уйдет. Правда rsync работает еще изящнее, но там уже совсем несекьюрно…
      • +3
        Всё нормально, это libastral.so
  • +1
    Вывод от последних событий: абсолютно все, что попадает в сеть можно добыть и расшифровать. Соответствующие органы как следили за нами так и будут следить.

    • +3
      А на самом деле, оно так и есть. Шифрование спасёт в случае если вы храните сверхсекретные документы, и то для этих бы целей лучше иметь сервер к которому нет доступа из вне. Вообще никакого. Даже если в DB сидят сотрудники и мониторят каждый файл, я не думаю, что их заинтересуют скан вашего паспорта, или развратные фото. Это, в общем, то, обыденность.
      DropBox очень удобный сервис, как ни крути. Даже если оно всё так, как написано в посте, то ничего, по сути, не изменится. Шум уляжется, и все также будут продолжать им пользоваться, это просто лишь сотрясание воздуха. А тем кто хранит секретные бэкапы на халявном аккаунте на DB, я могу только посочувствовать, если у них не имеется денег на нормальный защищенный сервер в дата-центре где-нибудь на Кокосовых островах.
      Но в любом случае нужно учитывать один факт и шифрования, и серверов и т.д. Если знают кого искать, и что искать в любом случае найдут, расшифруют и … (Вставьте пропущенное слово)
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Если брать органы, то им доступно всё. Я больше чем уверен.
          • 0
            Известны случаи когда органы не могли расшифровать содержимое винчестеров. ну и например шифр одного американца.
            Они не всесильны, просо могут очень много.
            • 0
              клаву пора менять(
              • –1
                Значит оно им было так надо. Это либо пр, типа ничего не бойтесь мы не расшифруем, либо более тонкий ход чтобы не поднимать много шума о их способностях. На худой конец, можно отрубить пару пальцев, и тот амер сам бы сказал ключ => Просто оно, им было так надо.
                • 0
                  Гм тот амер мертв…
                  • 0
                    Ну это пожалуй единственное действительно эффективное средство защиты от терморектального криптоанализа.
                    • 0
                      РектоТермальный.
                      ТермоРектальный — это горячим анусом вас пытать будут.
                • 0
                  PR скорее в том, что многие люди считают, что им доступно всё и при случае не сопротивляются.
  • 0
    SpiderOak говорит:

    >Greatly reduce backup & sync time through comprehensive compression and advanced de-duplication (saving you time)
  • 0
    для меня отличный сервис, надеюсь инцидент не скажется на их работе
  • +3
    Вопреки всем гарантиям со стороны подобных сервисов, никогда там не держал и не буду держать такие данные, конфиденциальность которых имеет для меня важное значение. Для подобного есть более удобные и безопасные для меня места.
    • 0
      Какие, например?
      • +3
        например
        1. шифрованный раздел дома на обоих компах и ноуте.
        2. личный сервер в Польше, Германии, США и Голландии.
        3. Диски в сейфе.
        • +4
          А самое лучшее — голова. Из минусов могу отметить ограниченность в объеме, выборочное старение и недостаточную устойчивость к методу терморектального криптоанализа.
          • +3
            к нему не очень устойчивы и сейфы с серверами в других странах
            • +2
              Да, что ни говори, а метод универсален ;)
        • 0
          Предлагаю шифрованный раздел на диске в сейфе в Голландии.
      • +1
        Флешка-подматрац достаточно безопасное устройство.
        • –2
          Вы вышли погулять, вернулись, а квартира сгорела вместе с компом и матрацем. Ваши действия?
          • 0
            Слово «достаточно» не подразумевает данный способ, как самый безопасный. Но в данном случае меньше вероятность, что моя информация без моего ведома окажется у кого-то. Вообще при пожаре нормально и сейф спасёт(и не только при пожаре). Главное, чтобы он не нагрелся как сковородка и не поджарил флешку.

            Если говорить об ОЧЕНЬ важной информации, к которой надо иметь доступ через интернет, то я бы смотрел в сторону своего сервера в первую очередь, а потом уже на какие-то файлохранилища. Правда теряются плюшки в виде мобильных приложений и т.д., но надо чем-то жертвовать.
            • +1
              Да, про сервер и я подумываю. И, по хорошему, туда надо закачивать уже зашифрованные данные.
          • +3
            Куплю новый матрац.
            • +1
              Несгораемый.
      • –5
        Меня mozy.com устраивает хотя бы тем, что шифрует всё на стороне клиента и отпрваляет на сервер файлы в уже зашифрованном виде. Может они конечно там потом и расшифровать их могут т.к. пароль известен, но сам факт когда ты наблюдаешь к клиентской программе, что данные шифруются и только потом отправляются как-то успокаивает :)
        • +1
          «Симпатичный» дизайн, степень детализации и тот факт, что сайт не требовал чересчур много данных, показались убедительными большинству участвующих. Двое (из двадцати) сослались на анимированную заставку с медведем (якобы, «это должно быть не так просто подделать»).

          Пляшущие свинки

    • 0
      более удобные — это врядли.

      доступ с компьютера, с любого устройства подключенного к интернету, с удобными клиентами для популярных мобильных платформ. А также расшаривание папок с другими пользователями.
      • +1
        удобные не в плане юзабилити.
        Честно говоря, у меня просто нет таких данных, которые можно отнести к строго-конфиденциальным.
        Хотя… есть древний rar-архив с паролем в 49 символов с паком эртических фотографий моей жены :)
  • 0
    Пора с него делать ололо на другие сервисы.
  • 0
    >Он требует от FTC заставить Dropbox чётко разъяснить на своём сайта условия защиты данных

    сайте… опечатка…
  • +15
    Я вроде недавно на хабре, а автора по заголовку и содержанию топика уже узнаю.
  • –1
    В очередной раз убеждаюсь, что не зря я самостоятельно шифрую данные перед отправкой их на Dropbox.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    вот еще один сервис для синхронизации файлов до кучи www.sugarsync.com/
    Есть поддержка PC, MAC, Android, iPhone(iPad), Blackberry, WinMobile, Symbian, а вот про Linux тишина…
  • 0
    Всегда удивляют люди, который возмущаются такими сервисами. Ведь можно изначально относиться так, как будто все данные публичны при загрузке.

    Так что GPG в зуьы и вперед. Кому надо для андройда брать тут — market.android.com/details?id=org.thialfihar.android.apg

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.