תלונה: שירות דרופבוקס מטעה לקוחות בנוגע למדיניות האבטחה שלו
חוקר אבטחה ופרטיות הגיש תלונה לוועדת הסחר הפדרלית האמריקנית ובה טען, כי המידע שמספקת החברה בדף תנאי השירות שלה בכל הנוגע לאבטחה אינו תואם את המציאות ● מדרופבוקס נמסר בתגובה שהתלונה "לא ראויה ומעלה נושאים שהתייחסנו אליהם בעבר"
תלונה שהוגשה לוועדת הסחר הפדרלית האמריקנית בשבוע שעבר טוענת ששירות שיתוף הקבצים דרופבוקס (Dropbox) מטעה את לקוחותיו בנוגע לאבטחה ולפרטיות של הקבצים שלהם השמורים בשירות.
דרופבוקס מציע יכולות סנכרון וגיבוי מקוון חוצות פלטפורמות. לפי החברה, יותר מ-25 מיליון אנשים נרשמו לשימוש בשרות.
התלונה הוגשה על ידי חוקר האבטחה והפרטיות כריסטופר סוגהויאן, והיא מתייחסת לתיאור השירות של החברה. בעבר, בדף "עד כמה דרופוקס מאובטח" שמפורסם במרכז העזרה שלה ציינה החברה, כי "כל הקבצים השמורים בשרתי דרופבוקס מקודדים (בצופן AES-256) ולא ניתן לגשת אליהם בלי סיסמת החשבון שלכם".
אבל המציאות, ככל הנראה, קצת אחרת. שלא כמו חלק מהמתחרים, בהם Spideroak ו-Tarsnap, שירות דרופבוקס משתמש בטכנולוגיה למניעת שכפול קבצים (דה-דופליקציה) בזמן הטעינה הראשונית של הקבצים לשירות. כתוצאה מכך, בעת שמשתמש מעלה קובץ – האתר לומד אותו, כדי לראות אם הוא הועלה לפני כן על ידי משתמש אחר. במקרה שכזה, דרופבוקס פשוט יוצר קישור לקובץ הקיים.
לפי סוגהויאן, שימוש בטכנולוגיה למניעת שכפול קבצים בדרך כלל מובילה לאבטחה ברמה נמוכה יותר. הוא כתב בבלוג שלו, כי "בעוד שההחלטה למנוע שכפול מידע ככל הנראה חסכה לחברה כמות גדולה למדי של שטח איחסון ורוחב פס, יש לכך פגמים משמעותיים".
כך, מניעת שכפול קבצים יכולה להקל על אנשים מבחוץ לדעת מה נמצא כבר בשרתי דרופבוקס. "אף על פי שהוא לא מציין מיהם המשתמשים האחרים שהעלו את הקובץ, דרופבוקס עצמו יכול להבין זאת. אני בספק אם הם יתנו את המידע למשתמש אקראי, אולם אם יוצג בפניהם צו של בית משפט – הם יהיו מחויבים לעשות זאת", כתב סוגהויאן. "מה שזה אומר הוא שסוכני אכיפת החוק או זכויות יוצרים יכולים לעלות לשירות קבצים מסוימים, לראות את רוחב הפס שנצרך עבור אותם קבצים ואת כמות הנתונים המועברת ולאחר מכן לדעת, באמצעות צו מבית המשפט, אם כמות הנתונים המועברים קטנה מגודל הקובץ".
סיבה נוספת שבגינה מטיל סוגהויאן ספק באיכות האבטחה של השירות היא שדרופבוקס משתמש במפתח הצפנה יחיד עבור כל הנתונים של המשתמשים המאחסנים תוכן בשירות. הוא טוען, כי יש בכך סכנה, מכיוון שמישהו פנימי בעל כוונות זדוניות יכול לקבל גישה לנתוני המשתמש. "דרופבוקס חושף את לקוחותיו לסכנת גניבת מידע בידי פורצים, שאם יצליחו לפרוץ אמנם לשרתי המערכת, יוכלו להשיג את נתוני המשתמשים ואת מפתח הפענוח שלהם", אמר.
בתגובה לטענותיו של החוקר מסרו בדרופבוקס שעובדי החברה לא יכולים לגשת לקבצים של המשתמשים ושאם יש צורך לטפל בקבצים – הגישה היא אל הנתונים שלהם, כמו שם הקובץ וגודלו, אולם לא לתוכן עצמו. עם זאת, באחרונה שונה התיאור באתר ובמקום לכתוב שהעובדים לא יכולים לגשת למידע כתוב שם כעת: "יש לנו בקרות גישה קפדניות שמונעות מעובדים גישה לנתוני משתמשים".
המנכ"ל, גרו יוסטון, ומנהל הטכנולוגיה הראשי, אראש פרדאוסי, שהקימו את דרופבוקס, אמרו, כי "כמו ברוב השירותים המקוונים העיקריים, יש לנו מספר קטן של עובדים שחייבים להיות יכולים לגשת למידע של המשתמשים כשהם נדרשים לעשות זאת באופן חוקי. אבל זה היוצא מן הכלל, ולא הכלל. יש לנו מדיניות קפדנית ובקרות גישה טכנית שמונעות מעובדים לגשת אלא בנסיבות הללו בלבד. בנוסף, אנחנו משתמשים במספר אמצעי אבטחה פיזיים וחשמליים כדי להגן על נתוני המשתמשים מגישה בלתי מורשת".
ג'ולי סופן, דוברת החברה, מסרה בתגובה להגשת התלונה, כי "אנחנו מאמינים שהיא לא ראויה, והיא מעלה נושאים שכבר התייחסנו אליהם".
תגובות
(0)