Časová osa bezpečnostních problémů Dropboxu

Dropbox byl první dostupnou mainstreamovou službou pro cloudové úložiště a v tomto odvětví prošlapal mnoho cest. Bohužel však v průběhu let udělal i mnoho chybných kroků, z nichž nejhorší byl únik dat z Dropboxu v roce 2012, který byl největší, jaký toto odvětví zažilo. Sestavili jsme pro vás tento přehled bezpečnostních problémů Dropboxu, abyste se mohli sami rozhodnout, zda je pro vás tento poskytovatel stále ten pravý.

Pokud jste po přečtení připraveni k přechodu, podívejte se na tento stručný návod, jak smazat účet Dropbox. A konečně, pokud zvažujete alternativu k Dropboxu, níže také sdílíme informace o službě Proton Drive, která je mnohem bezpečnější.

• Bezpečnostní úniky informací Dropboxu: časová osa
  • 2011
  • 2012
  • 2013
  • 2017
  • 2018
  • 2022
• Co můžete použít místo Dropboxu?

Bezpečnostní úniky informací Dropboxu: časová osa

Dropbox byl spuštěn v roce 2008 a od roku 2011 zažil téměř každý rok nějaký únik informací, i když se tempo v poslední době poněkud zpomalilo. Přesto je při rozhodování o tom, které službě cloudového úložiště svěřit své soubory, důležité podívat se na jejich dosavadní výsledky.

2011: Chyba hesla Dropboxu

První skandál Dropboxu přišel v červnu 2011, pouhé tři roky po jeho založení. Kvůli chybě systém Dropboxu po dobu přibližně čtyř hodin přijal jakékoli heslo(nové okno), které jste zadali, což znamenalo, že k jakémukoli účtu mohl získat přístup kdokoli, kdo znal uživatelské jméno nebo e-mail – což je pádný důvod pro používání bezpečného uživatelského jména.

Nutno však podotknout, že samotné vyřešení tohoto problému týmu Dropboxu trvalo pouhých pět minut od chvíle, kdy byli informováni. Během těch čtyř hodin byl však každý účet Dropbox dokořán otevřený. Bylo to čisté štěstí, že se o této zranitelnosti v daném časovém úseku žádní útočníci nedozvěděli.

2012: Únik informací z Dropboxu, kompromitováno bylo 68 milionů hesel

V červenci 2012 Dropbox oznámil(nové okno), že některá uživatelská jména a hesla byla zcizena z jiných stránek a poté použita k přístupu do Dropboxu (dobrý důvod k tomu, abyste si vytvořili silná hesla pro každou stránku zvlášť). Dropbox reagoval implementací bezpečnostních opatření, která měla neoprávněný přístup ztížit.

Zatím vše v pořádku, ale v roce 2016 vyšlo najevo, že Dropbox neřekl celý příběh(nové okno): Mezi napadenými v roce 2012 byl i zaměstnanec Dropboxu, který své firemní heslo používal také na síti LinkedIn. To útočníkům umožnilo přístup do systémů Dropboxu.

Jakmile se příběh v roce 2016 provalil – čtyři roky po původním narušení – rychle vyšlo najevo, že bylo kompromitováno přibližně 68 milionů uživatelů, což z něj činí největší útok v historii cloudových úložišť a jeden z největších v historii internetu vůbec. K tomu se přidal skandál společnosti Dropbox, obrovské firmy, které trvalo čtyři roky, než přiznala plný rozsah způsobených škod.

2013: Obvinění týkající se programu PRISM

Když v roce 2013 Edward Snowden deníku The Guardian prozradil, že vláda Spojených států špehuje lidi po celém světě prostřednictvím programu PRISM, jedno z jmen(nové okno), které se objevilo, byl Dropbox. Podle Snowdena byla společnost dychtivá spolupracovat s americkými úřady a nazval ji „aspirujícím partnerem PRISM(nové okno)“.

Není jasné, zda se Dropbox k projektu PRISM někdy připojil – společnost to vždy popírala – ale skutečnost, že by jakákoli služba cloudového úložiště byla popisována jako nadšený účastník masivního sledovacího spiknutí, by pravděpodobně měla lidi donutit k pozastavení a zamyšlení.

2017: Vzkříšená data

V lednu 2017 se někteří uživatelé služby Dropbox setkali s něčím velmi zvláštním: soubory, které smazali, v některých případech i před lety, se náhle znovu objevily v jejich účtech Dropbox. Po určitém zkoumání Dropbox zjistil, že se do kódu vloudila chyba(nové okno), která bránila trvalému smazání souborů a složek.

Ačkoli se to na první pohled může zdát neškodné, soubory často mažeme z určitého důvodu a skutečnost, že potenciálně citlivá data mohla přežívat jako duchové i po svém zničení, je velmi vážný problém. Opět to není něco, co byste od společnosti jako Dropbox čekali.

2018: Data sdílená bez souhlasu

V červenci 2018 byla zveřejněna zajímavá studie Harvardovy univerzity(nové okno), v níž bylo společné úsilí tisíců lidí použito jako datové body k určení toho, jak mohou týmy spolupracovat. Fascinující materiál, který přinesl několik velmi originálních zjištění. Použitá data však pocházela z Dropboxu a zúčastněných osob se nikdo neptal(nové okno), zda mohou být tímto způsobem použita.

Přestože použitá data byla před odesláním výzkumníkům anonymizována (což v první verzi článku nebylo jasně uvedeno), stále by ve Vás mělo vyvolávat nepříjemné pocity, že služba, které jste svěřili svá data, je bez Vašeho vědomí sdílela se třetími stranami, ať už anonymizovaně, či nikoliv.

Navíc by se dalo namítnout, že anonymní data nejsou až tak anonymní, protože existují způsoby, jak rekonstruovat něčí identitu, i když jsou jména z digitálních složek odstraněna.

2022: Návrat phishingového útoku

K poslednímu skandálu Dropboxu došlo v listopadu 2022, kdy byly během phishingového útoku opět ukradeny(nové okno) přihlašovací údaje zaměstnance Dropboxu.

Tentokrát se útočníci vydávali za službu GitHub, což je web, kde vývojáři ukládají svůj kód. V tomto případě si zloději odnesli e-maily a hesla patřící jak zaměstnancům Dropboxu, tak zákazníkům. Je třeba také poznamenat, že na útok upozornil samotný GitHub, nikoli Dropbox.

V reakci na to Dropbox uvedl, že soubory zákazníků nebyly v žádném okamžiku v ohrožení, stejně jako žádný z jeho hlavních modulů – tedy částí, které tvoří Dropbox a mohly by v případě odhalení ohrozit celý systém. Pro ně to bylo štěstí, ale pro každého, jehož e-mail byl zneužit kyberzločinci, je to jen slabá útěcha.

Co můžete používat místo Dropboxu?

Jak ukazuje výše uvedená časová osa, Dropbox by si mohl vést mnohem lépe, než jak si vede – a jak si vedl v minulosti. Přestože nedosahuje úrovně špatnosti jako LastPass, neuspěl již při více než jedné příležitosti. Rozsah a závažnost incidentů Dropbox často nehlásil, což naznačuje nedostatek povědomí nebo transparentnosti. A ve většině případů byly úniky informací způsobeny špatnými bezpečnostními postupy.

Znepokojivý je zejména nedostatek koncového šifrování u Dropboxu. Když služba cloudového úložiště chrání Vaše soubory koncovým šifrováním, znamená to, že Vaše data jsou v zařízení zašifrována ještě před odesláním do cloudu. Jakékoli následné narušení cloudových serverů by pak nevedlo k odhalení žádných dat. Podrobněji se těmto a dalším tématům věnujeme v našem článku o zabezpečení Dropboxu.

Právě s ohledem na tyto nedostatky hlavních poskytovatelů cloudových úložišť jsme vyvinuli Proton Drive, bezpečnou, koncově šifrovanou alternativu, která nabízí špičkové zabezpečení a příjemné uživatelské prostředí v jednom. I kdybychom Vaše data chtěli vidět – a to nechceme, protože naším obchodním modelem je chránit Vaše soukromí – jednoduše k nim stejně nemáme přístup.

Tento slib soukromí je jádrem společnosti Proton již od našeho založení a díky našim podporovatelům jsme jej schopni plnit, aniž bychom potřebovali financování zvenčí. Naším jediným závazkem jste tedy Vy, naše komunita.

Pokud Vám používání bezpečného a soukromého cloudového úložiště zní dobře, připojte se zdarma k Proton Drive a vyzkoušejte si, jak by mohl vypadat soukromý web.