Dropbox è stato il primo servizio di cloud storage mainstream disponibile e ha aperto molte strade per l’industria. Purtroppo, ha anche commesso molti errori nel corso degli anni, il peggiore dei quali è stata la violazione di Dropbox del 2012, la più grande che l’industria abbia mai visto. Abbiamo messo insieme questa cronologia dei problemi di sicurezza di Dropbox così puoi decidere da solo se questo è ancora il fornitore per te.
Se dopo aver letto sei pronto a fare il salto, consulta questa breve guida per eliminare il tuo account Dropbox. E infine, mentre consideri un’alternativa a Dropbox, condividiamo anche informazioni qui sotto su Proton Drive, che è molto più sicuro.
Violazioni della sicurezza di Dropbox: una cronologia
Dropbox è stato avviato nel 2008 e dal 2011 ha subito qualche violazione quasi ogni anno da allora, anche se recentemente il ritmo si è un po’ rallentato. Tuttavia, quando decidi quale servizio di cloud storage fidarti con i tuoi file, è importante guardare al loro storico.
2011: Bug della password di Dropbox
Il primo scandalo di Dropbox è avvenuto a giugno 2011, solo tre anni dopo la sua fondazione. Grazie a un bug, per un periodo di circa quattro ore il sistema di Dropbox accettava qualsiasi password(nuova finestra) che fornivi, il che significava che chiunque potesse accedere a qualsiasi account purché conoscesse il nome utente o l’email — un buon motivo per usare un nome utente sicuro.
Detto ciò, va notato che risolvere il problema ha richiesto al team di Dropbox solo cinque minuti una volta che sono stati informati. Tuttavia, durante quelle quattro ore ogni account Dropbox era completamente aperto. È stata pura fortuna che nessun attaccante scoprisse la vulnerabilità in quel lasso di tempo.
2012: Violazione di Dropbox, 68 milioni di password compromesse
A luglio 2012, Dropbox ha riferito(nuova finestra) che alcuni nomi utente e password erano stati rubati da altri siti e poi utilizzati per accedere a Dropbox (un buon motivo per creare password forti per ciascun sito separatamente). Dropbox ha risposto implementando misure di sicurezza per rendere più difficile l’accesso non autorizzato.
Finora, tutto bene, ma nel 2016 è emerso che Dropbox non aveva raccontato tutta la storia(nuova finestra): Tra coloro che sono stati hackerati nel 2012 c’era un dipendente di Dropbox che aveva usato la propria password aziendale su LinkedIn. Questo ha dato agli attaccanti accesso ai sistemi di Dropbox.
Quando la notizia è emersa nel 2016 — quattro anni dopo la violazione iniziale — è emerso rapidamente che circa 68 milioni di utenti erano stati compromessi, rendendola l’hack più grande nella storia del cloud storage, e uno dei più grandi nella storia di internet. A questo si aggiungeva lo scandalo di Dropbox, una grande azienda, che ha impiegato quattro anni a riconoscere la portata totale del danno causato.
2013: Allegazioni PRISM
Quando nel 2013 Edward Snowden rivelò al giornale The Guardian che il governo degli Stati Uniti stava spiando persone in tutto il mondo attraverso il programma PRISM, uno dei nomi(nuova finestra) che emerse fu Dropbox. Secondo Snowden, l’azienda era desiderosa di collaborare con le autorità statunitensi, definendola un ‘partner PRISM aspirante(nuova finestra)‘.
Non è chiaro se Dropbox sia mai entrata a far parte del progetto PRISM — l’azienda ha sempre negato di farlo — ma probabilmente dovrebbe far riflettere il fatto che qualsiasi servizio di cloud storage venga descritto come entusiasta di unirsi a una cospirazione di sorveglianza massiccia.
2017: Dati resuscitati
A gennaio 2017, alcuni utenti di Dropbox si sono imbattuti in qualcosa di molto strano: file che avevano eliminato, in alcuni casi anni fa, sono riapparsi improvvisamente nei loro account Dropbox. Dopo alcune ricerche, Dropbox ha trovato un bug(nuova finestra) che si era infiltrato nel codice impedendo la cancellazione permanente di file e cartelle.
Sebbene possa sembrare innocuo all’inizio, spesso eliminiamo file per una ragione e il fatto che dati sensibili possibili possano aver continuato a vivere un’esistenza simile a un fantasma anche dopo essere stati distrutti è un problema molto serio. Ancora una volta, non è qualcosa che ti aspetti da un’azienda come Dropbox.
2018: Dati condivisi senza consenso
A luglio 2018, è stato pubblicato uno studio interessante di Harvard(nuova finestra) in cui gli sforzi collaborativi di migliaia di persone sono stati utilizzati come punti dati per determinare come i team possano lavorare insieme. Un materiale avvincente che ha portato a scoperte molto originali. I dati utilizzati, però, erano dati di Dropbox, e le persone coinvolte non sono state mai chieste(nuova finestra) se potessero essere utilizzati in questo modo.
Sebbene i dati utilizzati fossero stati anonimizzati prima di essere inviati ai ricercatori (cosa che non era chiara nella prima versione dell’articolo), dovrebbe comunque farti sentire a disagio che un servizio di cui ti fidavi con i tuoi dati li abbia condivisi con terze parti senza il tuo consenso, anonimizzati o meno.
In aggiunta, si potrebbe sostenere che i dati anonimi non sono poi così anonimi poiché ci sono modi per ricostruire l’identità di qualcuno anche quando i nomi vengono rimossi dai dossier digitali.
2022: Ritorno dell’attacco phishing
Lo scandalo più recente di Dropbox è avvenuto a novembre 2022, quando ancora una volta le credenziali di un dipendente di Dropbox sono state rubate(nuova finestra) durante un attacco di phishing.
In questo caso, i ladri hanno rubato email e password appartenenti sia ai dipendenti di Dropbox che ai clienti. Va anche notato che è stato GitHub stesso a segnalare l’attacco, non Dropbox. In risposta, Dropbox ha dichiarato che in nessun momento i file dei clienti erano in pericolo, né lo erano i suoi moduli fondamentali, le parti che compongono Dropbox e quindi potrebbero minacciare l’intero sistema se esposti.
Fortunatamente per loro, ma è un comfort ghiacciato per chiunque il cui email sia stato utilizzato dai criminali informatici. Fortunatamente per loro, ma è un conforto freddo per chiunque la cui email è stata utilizzata dai criminali informatici.
Cosa puoi usare invece di Dropbox?
Come dimostra la timeline sopra, Dropbox potrebbe fare molto meglio di quanto stia facendo — e ha fatto. Anche se non è ai livelli gravi di LastPass, ha sbagliato più di una volta. E più spesso che no, le violazioni sono state causate da pratiche di sicurezza scadenti. E più spesso che mai le violazioni sono state causate da pratiche di sicurezza scadenti.
In particolare, la mancanza di crittografia end-to-end di Dropbox è preoccupante. Quando un servizio di cloud storage protegge i tuoi file con crittografia end-to-end, significa che i tuoi dati vengono crittografati sul tuo dispositivo prima di andare nel cloud. Qualsiasi successiva violazione dei server cloud non comporterebbe l’esposizione di alcun dato. Entriamo più nei dettagli di questi e altri nel nostro articolo su la sicurezza di Dropbox.
È con queste lacune dei fornitori di cloud storage mainstream in mente che abbiamo sviluppato Proton Drive, un’alternativa sicura, crittografata end-to-end che offre sicurezza di alto livello e un’esperienza utente piacevole tutto in uno. Anche se volessimo vedere i tuoi dati — e non lo vogliamo, perché il nostro modello di business è proteggere la tua privacy — semplicemente non possiamo accedervi comunque.
Questa promessa di privacy è stata al centro di Proton sin dalla nostra fondazione, e grazie ai nostri sostenitori, siamo stati in grado di farlo senza bisogno di finanziamenti esterni. Quindi, il nostro unico obiettivo sei tu, la nostra community.
Se usare un’opzione di cloud storage sicura e privata ti piace, unisciti a Proton Drive gratuitamente e assapora cosa sarebbe un web privato.
