Войти
Критика Dropbox сосредоточена вокруг различных форм безопасности и конфиденциальности споры вокруг Dropbox, американской компании, специализирующейся на облачном хранилище и синхронизации файлов. Проблемы включают проблему аутентификации в июне 2011 года, которая позволяла доступ к учетным записям в течение нескольких часов без паролей, обновление Политики конфиденциальности в июле 2011 года с языком, предполагающим, что Dropbox владеет данными пользователей, опасения по поводу доступа сотрудников Dropbox к информации пользователей, спам в электронной почте в июле 2012 года с повторение в феврале 2013 г., утечка правительственных документов в июне 2013 г. с информацией о том, что Dropbox рассматривался для включения в программу наблюдения PRISM Агентства национальной безопасности , июль 2014 г. комментарий АНБ информатор Эдвард Сноуден критикует шифрование Dropbox, утечку 68 миллионов паролей учетных записей в Интернете в августе 2016 года и инцидент случайного восстановления данных в январе 2017 года, когда у пользователей снова появились файлы, предположительно удаленные годами ' учетные записи.
Dropbox подвергся критике со стороны независимого исследователя безопасности Дерека Ньютона, который в апреле 2011 г. написал, что Dropbox хранит информацию для аутентификации пользователя в файле на компьютере, который был «полностью переносимым и * не * никаким образом привязан к системе ». Объясняя проблему, Ньютон написал: «Это означает, что если вы получаете доступ к файлу config.db человека (или только host_id), вы получаете полный доступ к Dropbox этого человека до тех пор, пока человек не удалит хост из списка. связанных устройств через веб-интерфейс Dropbox ". В октябре 2011 года он обновил свое сообщение, написав, что «Dropbox имеет версию 1.2.48, которая использует зашифрованную локальную базу данных и, как сообщается, применяет улучшения безопасности для предотвращения кражи учетных данных машины». В отчете The Next Web есть комментарий Dropbox, в котором они не согласны с Ньютоном в том, что эта тема является недостатком безопасности, объясняя, что «Исследователь утверждает, что злоумышленник сможет получить доступ к учетной записи Dropbox пользователя, если они может получить физический доступ к компьютеру пользователя. На самом деле, когда злоумышленник получает физический доступ к компьютеру, битва за безопасность уже проиграна. [...] этот «недостаток» существует в любой службе, использующей файлы cookie для аутентификации (практически все веб-службы). "
В мае 2011 года в Федеральную торговую комиссию США была подана жалоба, в которой утверждается, что Dropbox ввел в заблуждение пользователей о конфиденциальности и безопасности своих файлов. В основе жалобы лежала политика дедупликации данных, при которой система проверяет, был ли файл загружен ранее каким-либо другим пользователем, и ссылается на существующую копию, если да; а также политику использования одного ключа AES-256 для каждого файла в системе, чтобы Dropbox мог (и делает, для дедупликации) просматривать зашифрованные файлы, хранящиеся в системе, в результате чего любой злоумышленник, получивший ключ (а также потенциальные сотрудники Dropbox) могли расшифровать любой файл, если бы у них был доступ к внутренней инфраструктуре хранения Dropbox. В ответе на свой блог Dropbox написал, что «Как и у большинства крупных онлайн-сервисов, у нас есть небольшое количество сотрудников, которые должны иметь доступ к данным пользователя, когда это требуется по закону. Но это исключение, а не правило. У нас есть строгие правила и технические средства контроля доступа, запрещающие доступ сотрудников, за исключением этих редких обстоятельств. Кроме того, мы применяем ряд физических и электронных мер безопасности для защиты информации пользователя от несанкционированного доступа ». В ответ на жалобу FTC пресс-секретарь Dropbox Джули Супан сообщила InformationWeek, что «мы считаем, что эта жалоба необоснованна и поднимает вопросы, которые были рассмотрены в нашем сообщении в блоге 21 апреля»
20 июня 2011 г. TechCrunch сообщил, что ко всем учетным записям Dropbox можно получить доступ без пароля в течение четырех часов. В своем сообщении в блоге соучредитель Араш Фердоуси написал: «Вчера мы обновили код в 13:54 по тихоокеанскому времени, в котором была обнаружена ошибка, влияющая на наш механизм аутентификации. Мы обнаружили это в 17:41, а исправление было опубликовано в 17:46.. Очень небольшое количество пользователей (гораздо менее 1 процента) вошли в систему в течение этого периода, некоторые из которых могли войти в учетную запись без правильного пароля. В качестве меры предосторожности мы завершили все входящие в систему сеансы ». Он написал, что проводилось «тщательное расследование», и что «этого никогда не должно было произойти. Мы внимательно изучаем наши средства контроля и будем применять дополнительные меры безопасности, чтобы этого не произошло снова». Джулианна Пепитон, пишущая для CNNMoney, написала, что «это кошмарный сценарий безопасности: веб-сайт, наполненный конфиденциальными документами, оставляет все данные своих клиентов незащищенными и открытыми», и представила комментарий Дэйва Айтела, президента и генерального директора из охранной фирмы Immunity Inc., заявив: «Любое доверие к облаку - это слишком большое доверие к облаку - это так просто. [...] Это в значительной степени стандарт среди профессионалов в области безопасности, который вы должны использовать только то, что вы готовы отдать ».
В июле 2011 г. Dropbox обновил свои Условия использования, Политику конфиденциальности и Обзоры безопасности. Новая Политика конфиденциальности вызвала критику, как отметил Кристофер Уайт в посте Neowin, в котором он написал, что «они попытались сократить часть утомительного юридического языка, чтобы его было легче понять нормальным людям. Похоже, что они преуспели в этой миссии и в процессе взяли на себя ответственность за каждый файл, который использует их службу ". Ссылаясь на абзац обновленной Политики конфиденциальности, в котором говорится, что Dropbox необходимо разрешение пользователя «использовать, копировать, распространять, готовить производные работы (например, переводы или преобразование формата), выполнять или публично отображать» данные пользователя, Уайт написал, что «Эта широкая терминология пугает конечных пользователей, потому что он явно позволяет Dropbox брать работу человека, будь то фотографии, художественные произведения или научные исследования, и дает компании право делать все, что они хотят, без каких-либо прав со стороны первоначального владельца ". После того, как пользователи выразили обеспокоенность по поводу изменения, Dropbox еще раз обновил свою политику, добавив: «Эта лицензия предназначена исключительно для того, чтобы позволить нам технически администрировать, отображать и управлять Сервисами». В заключение Уайт написал: «Хотя это шаг в правильном направлении, все еще не имеет смысла, почему продукт, который используется для перемещения файлов с одного компьютера на другой, нуждается в способности« готовить производные работы »из чьих-либо файлов. «
В июле 2012 г. Dropbox нанял« внешних экспертов », чтобы выяснить, почему некоторые пользователи получали спам по электронной почте от Dropbox. В сообщении в своем блоге сотрудник Dropbox Адитья Агарвал написал, что «имена пользователей и пароли, недавно украденные с других веб-сайтов, использовались для входа в небольшое количество учетных записей Dropbox. Мы связались с этими пользователями и помогли им защитить их учетные записи». Однако Агарвал также отметил, что «украденный пароль также использовался для доступа к учетной записи Dropbox сотрудника, содержащей документ проекта с адресами электронной почты пользователя. Мы считаем, что именно этот неправильный доступ привел к спаму. Мы сожалеем об этом и помещаем дополнительные элементы управления, которые помогут убедиться, что это больше не повторится ". Одним из дополнительных реализованных средств управления было введение двухфакторной аутентификации. В феврале 2013 года пользователи сообщили о дополнительном спаме, при этом компания заявила, что «В настоящее время мы не увидели ничего, что указывало бы на то, что это новая проблема», и обвинили в спаме, возникшем ранее в электронной почте в июле прошлого года.
В июне 2013 года The Guardian и The Washington Post опубликовали конфиденциальные документы, предполагающие, что Dropbox рассматривается для включения в Секретная программа наблюдения за Интернетом Агентства национальной безопасности PRISM.
11 января 2014 г. произошел сбой в работе Dropbox. Хакерская группа под названием The 1775 Sec разместила в Twitter, что она взломала сайт Dropbox «в честь интернет-активиста и программиста Аарона Шварца, который покончил жизнь самоубийством год назад». Однако сам Dropbox написал в Твиттере, что «сайт Dropbox работает! Заявления об утечке информации о пользователях - это обман. Сбой был вызван внутренним обслуживанием. Спасибо за терпение!» В сообщении в блоге, в котором подробно описывается проблема, Ахил Гупта из Dropbox написал, что «В пятницу в 17:30 по тихоокеанскому времени у нас было запланировано плановое техническое обслуживание для обновления ОС на некоторых из наших компьютеров. Во время этого процесса сценарий обновления проверяет, что перед установкой новой ОС на машине нет активных данных. Небольшая ошибка в скрипте привела к переустановке небольшого количества активных машин. К сожалению, были затронуты некоторые пары мастер-реплика, что привело к остановке сайта ». Гупта также отметил, что «ваши файлы никогда не подвергались риску во время отключения».
В апреле 2014 г. Dropbox объявила, что Кондолиза Райс присоединится к их совету директоров, что вызовет критику со стороны некоторых пользователей, которые были обеспокоены ее назначением из-за ее истории в качестве государственного секретаря США и разоблачения "широкомасштабного прослушивания телефонных разговоров с гражданами США во время время ее пребывания в должности ". Консультационная фирма RiceHadleyGates, состоящая из Райс, бывшего советника по национальной безопасности США Стивена Хэдли и бывшего министра обороны США Роберта Гейтса, ранее консультировала Dropbox.
В мае 2014 г. Dropbox временно отключил общие ссылки. В сообщении в блоге компания подробно описала сценарий веб-уязвимости, при котором совместное использование документов, содержащих гиперссылки, может привести к тому, что исходная общая ссылка Dropbox станет доступной для владельца веб-сайта, если пользователь щелкнет гиперссылку, найденную в документе. Некоторые типы общих ссылок оставались отключенными в течение следующих нескольких недель, пока Dropbox не внес изменения в функциональность.
В интервью в июле 2014 г. бывший подрядчик АНБ Эдвард Сноуден назвал Dropbox «враждебным по отношению к конфиденциальности», поскольку его модель шифрования позволяет компании передавать пользовательские данные государственным органам, и рекомендовал вместо этого использовать конкурирующий сервис SpiderOak. В ответ пресс-секретарь Dropbox заявила, что «Защита информации наших пользователей является главным приоритетом Dropbox. В нашей политике конфиденциальности мы приняли обязательство противостоять широким запросам правительства и боремся за изменение законов, чтобы обеспечить фундаментальную защиту конфиденциальности. место для пользователей по всему миру ».
В октябре 2014 г. анонимный пользователь на Pastebin заявил, что скомпрометировал« почти семь миллионов »Dropbox логины и пароли, постепенно размещая информацию. Однако в своем сообщении в блоге Dropbox заявил: «Последние новостные статьи, в которых утверждается, что Dropbox был взломан, не соответствуют действительности. Ваши данные в безопасности. Имена пользователей и пароли, упомянутые в этих статьях, были украдены из несвязанных служб, а не из Dropbox. [...] Последующий список имен пользователей и паролей был опубликован в Интернете. Мы проверили, не связаны ли они с учетными записями Dropbox. "
Длинная цепочка (750+ комментариев ) комментариев на собственном форуме поддержки Dropbox была начата в декабре 2014 года, когда Dropbox представил планы хранения данных 1 ТБ. Строка с заголовком «Можем ли мы иметь планы размером менее 1 ТБ?» Содержит длинную строку, в которой пользователи Dropbox выражают обеспокоенность тем, что они не могут расширить свой тарифный план с бесплатного плана на 2 ГБ с шагом, превышающим 1 ТБ. 2020 минимальная платная учетная запись хранения данных составляет 2 ТБ, что означает постепенное увеличение от бесплатной учетной записи до минимального платного плана 2 ТБ, и комментарии с запросами на меньшие планы все еще поступают.
В строке более опытные комментаторы объясняют, что приз за тарифный план минимум 2 ТБ отражает не объем хранилища данных, а сумму предлагаемых услуг по обработке данных. Это вызывает критику со стороны пользователей, так долго использующих Dropbox, что переход на другую облачную службу становится практически невозможным из-за большого количества исходящих общих файлов по ссылкам Dropbox из их папки Dropbox, одной из первоначальных предлагаемых услуг, тем самым привязывая пользователей к либо бесплатную учетную запись на 2 ГБ, либо платный тариф с минимальным объемом 2 ТБ, если они хотят сохранить общий доступ к своим файлам по ссылкам Dropbox, уже опубликованным в Интернете.
В августе 2016 года адреса электронной почты и пароли для 68 миллионов учетных записей Dropbox были опубликованы в Интернете, причем информация была получена из спама 2012 года. Независимый исследователь безопасности Трой Хант проверил базу данных на своем веб-сайте утечки данных и проверил данные, обнаружив, что были раскрыты как учетные записи, принадлежащие ему, так и его жене. Хант прокомментировал: «Нет никаких сомнений в том, что утечка данных содержит допустимые пароли Dropbox, вы просто не можете сфабриковать подобные вещи». В своем сообщении в блоге Dropbox заявил: «Список адресов электронной почты с хешированными и солеными паролями реален, однако у нас нет никаких указаний на то, что к учетным записям пользователей Dropbox был осуществлен неправильный доступ. Нам очень жаль, что это произошло, и мы хотим выяснить, что продолжается." Компания подробно рассказала, что информация «вероятно, была получена в 2012 году», когда компания впервые услышала о списке двумя неделями ранее, после чего немедленно начала расследование. "Затем мы отправили электронное письмо всем пользователям, которые, по нашему мнению, были затронуты, и выполнили сброс пароля для всех, кто не обновлял свой пароль с середины 2012 года. Этот сброс гарантирует, что даже если эти пароли будут взломаны, их нельзя будет использовать для доступа к учетным записям Dropbox.. "
В январе 2017 г. Dropbox восстановил файлы и папки, предположительно удаленные годами, в учетных записях пользователей. В одном примере пользователь сообщил, что вернулись папки 2011 и 2012 годов. Объясняя проблему, сотрудник Dropbox написал на своем форуме, что «ошибка не позволяла полностью удалить некоторые файлы и папки с наших серверов даже после того, как пользователи удалили их из своих учетных записей Dropbox. Во время исправления ошибки мы случайно восстановили затронули файлы и папки в учетных записях этих пользователей. Это была наша ошибка; это не по вине третьей стороны и вас не взломали. Как правило, мы безвозвратно удаляем файлы и папки с наших серверов в течение 60 дней после их удаления пользователем.. Однако удаленные файлы и папки, затронутые этой ошибкой, имели несоответствия метаданных. Поэтому мы поместили их в карантин и исключили их из процесса постоянного удаления до тех пор, пока метаданные не будут исправлены ».
