En tidslinje over Dropbox-sikkerhedsproblemer

Dropbox var den første udbredte skylagerplads-tjeneste, der var tilgængelig, og har banet vejen for branchen på mange måder. Desværre har den også begået mange fejltrin gennem årene, hvoraf det værste var Dropbox-databruddet i 2012, det største branchen har set. Vi har sammensat denne tidslinje over Dropbox-sikkerhedsproblemer, så De selv kan beslutte, om dette stadig er udbyderen for Dem.

Hvis De efter at have læst dette er klar til at tage springet, kan De se denne hurtige guide til at slette din Dropbox-konto. Og endelig, når De overvejer et alternativ til Dropbox, deler vi også oplysninger nedenfor om Proton Drive, som er meget mere sikkert.

• Dropbox-sikkerhedsdatabrud: en tidslinje
  • 2011
  • 2012
  • 2013
  • 2017
  • 2018
  • 2022
• Hvad kan De bruge i stedet for Dropbox?

Dropbox-sikkerhedsdatabrud: en tidslinje

Dropbox blev startet i 2008 og har fra 2011 oplevet en eller anden form for databrud næsten hvert år siden da, selvom tempoet er sat lidt ned for nylig. Alligevel er det vigtigt at se på deres historik, når De beslutter, hvilken skylagerplads-tjeneste De vil betro dine filer.

2011: Dropbox-adgangskodefejl

Dropbox’ første skandale kom i juni 2011, kun tre år efter virksomheden blev grundlagt. Takket være en fejl ville Dropbox-systemet i en periode på ca. fire timer acceptere enhver adgangskode(nyt vindue), De gav det, hvilket betød, at alle kunne få adgang til enhver konto, så længe de kendte brugernavnet eller e-mailadressen — et godt argument for at bruge et sikkert brugernavn.

Når det er sagt, skal det bemærkes, at det faktisk kun tog Dropbox-teamet fem minutter at løse problemet, da de først blev underrettet om det. Men i løbet af de fire timer stod hver eneste Dropbox-konto vid gabende åben. Det var rent held, at ingen angribere opdagede sårbarheden i det tidsrum.

2012: Dropbox-databrud, 68 millioner adgangskoder kompromitteret

I juli 2012 rapporterede(nyt vindue) Dropbox, at nogle brugernavne og adgangskoder var stjålet fra andre websteder og derefter brugt til at få adgang til Dropbox (en god grund til at oprette stærke adgangskoder til hvert websted separat). Dropbox reagerede ved at udrulle sikkerhedsforanstaltninger for at gøre uautoriseret adgang sværere.

Indtil videre er alt godt, men i 2016 kom det frem, at Dropbox ikke havde fortalt hele historien(nyt vindue): Blandt dem, der blev hacket i 2012, var en Dropbox-medarbejder, der også havde brugt sin virksomheds-adgangskode på LinkedIn. Dette gav angriberne adgang til Dropbox’ systemer.

Da historien brød ud i 2016 — fire år efter det oprindelige databrud — kom det hurtigt frem, at omkring 68 millioner brugere var blevet kompromitteret, hvilket gjorde det til det største hack i historien for sky-lagerplads og et af de største i internettets historie, punktum. Derudover var der skandalen om Dropbox, en kæmpe virksomhed, der brugte fire år på at anerkende det fulde omfang af den skade, der var sket.

2013: PRISM-anklager

Da Edward Snowden i 2013 afslørede over for avisen The Guardian, at den amerikanske regering udspionerede folk over hele verden gennem PRISM-programmet, var et af de navne(nyt vindue), der dukkede op, Dropbox. Ifølge Snowden var virksomheden ivrig efter at arbejde sammen med de amerikanske myndigheder og kaldte den en „wannabe PRISM-partner(nyt vindue)“.

Det er uklart, om Dropbox nogensinde tilsluttede sig PRISM-projektet — virksomheden har altid nægtet det — men det bør sandsynligvis give anledning til eftertanke, at enhver tjeneste til sky-lagerplads ville blive beskrevet som værende entusiastisk efter at deltage i en massiv overvågningssammensværgelse.

2017: Genopståede data

I januar 2017 stødte nogle Dropbox-brugere på noget meget mærkeligt: Filer, som de havde slettet, i nogle tilfælde for flere år siden, dukkede pludselig op igen på deres Dropbox-konti. Efter noget undersøgelse fandt Dropbox ud af, at en fejl(nyt vindue) havde sneget sig ind i koden, som forhindrede filer og mapper i at blive slettet permanent.

Selvom det ved første øjekast kan virke harmløst, sletter vi ofte filer af en grund, og det faktum, at potentielt følsomme data kan have fortsat en spøgelsesagtig eksistens, selv efter at være blevet destrueret, er et meget alvorligt problem. Igen er det ikke noget, De ville forvente af en virksomhed som Dropbox.

2018: Data delt uden samtykke

I juli 2018 blev et interessant Harvard-studie(nyt vindue) offentliggjort, hvor tusindvis af menneskers samarbejdsindsats blev brugt som datapunkter til at bestemme, hvordan teams kan arbejde sammen. Spændende læsning med nogle meget originale resultater. De anvendte data var dog data fra Dropbox, og de involverede personer blev aldrig spurgt(nyt vindue), om de måtte bruges på denne måde.

Selvom de anvendte data blev anonymiseret, før de blev sendt til forskerne (noget, der ikke blev gjort tydeligt i den første version af artiklen), bør det stadig gøre Dem utilpas, at en tjeneste, De har betroet Deres data, har delt dem med tredjeparter uden Deres tilladelse, uanset om de er anonymiserede eller ej.

Oven i købet kan man argumentere for, at anonyme data slet ikke er så anonyme, da der er måder at rekonstruere nogens identitet på, selv når navne fjernes fra digitale sagsakter.

2022: Phishing-angrebets tilbagevenden

Den seneste Dropbox-skandale var i november 2022, da en Dropbox-medarbejders legitimationsoplysninger endnu en gang blev stjålet(nyt vindue) under et phishing-angreb.

Denne gang udgav angriberne sig for at være GitHub, et websted hvor udviklere gemmer deres kode. I dette tilfælde slap tyvene af sted med e-mails og adgangskoder tilhørende både Dropbox-medarbejdere og kunder. Det bør også bemærkes, at det var GitHub selv, der markerede angrebet, ikke Dropbox.

Som svar erklærede Dropbox, at kundernes filer på intet tidspunkt var i fare, og det var heller ikke nogen af virksomhedens kernemoduler, de dele, der udgør Dropbox og derfor kunne true hele systemet, hvis de blev eksponeret. Heldigt for dem, men det er en ringe trøst for alle, hvis e-mail blev brugt af cyberkriminelle.

Hvad kan De bruge i stedet for Dropbox?

Som ovenstående tidslinje viser, kunne Dropbox gøre det meget bedre, end de gør — og har gjort. Selvom det ikke er helt på LastPass-niveau, har de fejlet ved mere end én lejlighed. Ofte blev hændelsernes omfang og alvor ikke rapporteret af Dropbox, hvilket tyder på manglende bevidsthed eller gennemsigtighed. Og oftest var databrudene forårsaget af dårlig sikkerhedspraksis.

Især Dropbox’ mangel på end-to-end kryptering er bekymrende. Når en tjeneste til sky-lagerplads beskytter Deres filer med end-to-end kryptering, betyder det, at Deres data krypteres på Deres enhed, før de sendes til skyen. Ethvert efterfølgende databrud på sky-serverne ville ikke resultere i, at data bliver eksponeret. Vi går i flere detaljer med disse og mere i vores artikel om Dropbox-sikkerhed.

Det er med disse mangler hos de gængse udbydere af skylagerplads i tankerne, at vi udviklede Proton Drive, et sikkert, end-to-end krypteret alternativ, der tilbyder førsteklasses sikkerhed og en behagelig brugeroplevelse i ét. Selv hvis vi ønskede at se Deres data — og det gør vi ikke, fordi vores forretningsmodel er at beskytte Deres privatliv — har vi simpelthen ingen mulighed for at få adgang til dem.

Dette løfte om privatliv har været kernen i Proton, siden vi blev grundlagt, og takket være vores støtter har vi været i stand til at gøre det uden brug af ekstern finansiering. Så vores eneste forpligtelse er over for Dem, vores fællesskab.

Hvis det lyder godt at bruge en sikker og privat mulighed for sky-lagerplads, så tilmeld Dem Proton Drive gratis og få en smagsprøve på, hvordan et privat web kunne være.