Dropbox er et af de største navne inden for skylager, hvorfor De måske vil blive overrasket over at høre, at de ikke bruger de mest sikre krypteringsalgoritmer og ikke beskytter Deres privatliv.
Selvom Dropbox er beskyttet mod udefrakommende angreb, har de tidligere været udsat for databrud. De bruger heller ikke end-to-end kryptering, og virksomheden kan få adgang til Deres filer når som helst. I denne artikel forklarer vi, hvad dette betyder, og hvordan De beskytter Deres filer i skyen gratis uden at opgive Deres privatliv.
Er Dropbox krypteret?
Ved første øjekast tilbyder Dropbox solid sikkerhed, både under overførsel til og fra Deres enhed samt ved opbevaring på deres servere. Sikkerhed under overførsel håndteres af TLS, en standard, men kraftfuld krypteringsprotokol, der bruges af stort set alle onlinetjenester. Vi bruger den for eksempel også til at kryptere Deres internetforbindelse, mens De læser denne artikel.
Når filerne ankommer til Dropbox’ servere, dekrypteres de ved modtagelse og krypteres derefter igen, denne gang med AES-256. Dette er en sikker krypteringsalgoritme, der bruges af regeringer, militær og virksomheder verden over. Vi hos Proton bruger den selv i alle vores tjenester.
Denne metode, hvor filer krypteres under overførsel, derefter dekrypteres, før de krypteres igen under opbevaring, bruges af mange skylagertjenester til at beskytte mod cyberkriminelle. Problemet er, at Dropbox overser en væsentlig trussel mod Deres sikkerhed og privatliv: sig selv.
Hvor sikker er Dropbox egentlig?
Når man taler om sikkerhed, mener man normalt trusler udefra. Når De lejer et lagerrum, sætter De en lås på for at sikre, at ingen går ind i det og stjæler Deres ejendele. De er ikke bange for, at Deres gamle møbler løber væk af sig selv.
Når man taler om data, er man dog nødt til at bekymre sig en smule om, hvad de personer, De gemmer dem hos, gør med Deres informationer. Det er ligegyldigt, hvor godt tjenesten beskytter Dem mod angreb udefra; den er ikke rigtig sikker, hvis virksomhedens medarbejdere kan få adgang til Deres filer.
I tilfældet med lagerrummet kan De bruge Deres egne låse, så kun De har nøglerne. Ved digital lagring kan De bruge noget, der kaldes end-to-end kryptering (også kaldet klient-side-kryptering), en sikkerhedsmetode, hvor filer automatisk krypteres på Deres enhed, før de uploades til serveren. Deres lagerudbyder har ikke en nøgle til Deres data, og filerne er utilgængelige for de personer, der driver tjenesten.
Dropbox tilbyder ikke end-to-end kryptering på nogen måde. Som virksomheden gør det klart på sit websted(nyt vindue), skal De bruge et tredjepartsværktøj til kryptering og uploade de krypterede filer til Dropbox, hvis De vil bruge end-to-end kryptering. Dette er besværligt og umuliggør mange kritiske funktioner, såsom filsynkronisering.
Dropbox har bestemt interne sikkerhedsforanstaltninger for at forhindre deres medarbejdere i at få adgang til brugerdata, men det kræver stor tillid fra forbrugerens side. Selv hvis Dropbox med succes undgår interne trusler, er der også mulighed for menneskelige fejl. Et af de største databrud i skylagerets historie var Dropbox-hacket i 2012(nyt vindue), hvor en medarbejder genbrugte sin adgangskode, blev hacket og efterlod 68 millioner brugeres adgangskoder kompromitteret.
Man skulle tro, at en ansat i en tech-virksomhed ville vide, at man aldrig må genbruge adgangskoder, men det viser, at menneskelige fejl kan spille en vigtig rolle selv i avancerede tekniske scenarier.
Problemer med privatlivet hos Dropbox
Udover sikkerhedsrisici betyder manglen på klient-side-kryptering, at Dropbox ikke er privat. Som Dropbox forklarer i sin Privatlivspolitik(nyt vindue), deler de Deres filer, kontoinformationer, kontakter og andre personlige data med andre virksomheder, såsom Google, Amazon og OpenAI. Selvom De ikke har noget imod, at Dropbox har Deres data, ønsker De måske ikke, at Dropbox spreder dem rundt på internettet.
Oven i købet er Dropbox en amerikansk virksomhed, der skal efterkomme anmodninger om data fra myndighederne. Da Dropbox kan få adgang til Deres filer, kan virksomheden også dele disse filer med myndighederne(nyt vindue).
Hvad man kan bruge i stedet for Dropbox
Dropbox har måske været den første skylagertjeneste, men måden, den håndterer kundedata på, er forældet: Der er ingen grund til at give afkald på klient-side-kryptering.
Hos Proton bruger vi end-to-end kryptering til alle vores tjenester, herunder vores skylagertjeneste Proton Drive. Med Drive kan De uploade, synkronisere, dele og endda få en forhåndsvisning af Deres filer, sikker i vidheden om, at de ikke kan læses af andre end Dem selv og hvem De end vælger at dele dem med — hvilket er grunden til, at vi også kalder det nul-adgangs-kryptering.
Med Docs i Proton Drive kan De også nyde friheden til at oprette og redigere dokumenter sammen med andre i visheden om, at Deres indhold er beskyttet af end-to-end kryptering som standard.
Vores kode er open source og revideret af uafhængige sikkerhedseksperter. Det giver vores fællesskab tillid til, at vores kryptering fungerer, som vi påstår, og der er ingen grund til blot at tage vores ord for det.
Oven i købet deler vi ikke Deres data med nogen. Vores forretningsmodel er baseret på abonnementer for mere lagerplads og ekstra funktioner, ikke på annoncering. Selv hvis vi ønskede at dele Deres data, kunne vi ikke, fordi vi ikke har adgang til dem. Vores end-to-end kryptering gælder selv for vigtige metadata.
I modsætning til Dropbox er vi baseret i Schweiz, hvor Deres data er beskyttet af nogle af verdens stærkeste love om privatliv. Vi ville kun udlevere de få data, vi har, hvis vi blev pålagt det af en schweizisk domstol.
Grunden til, at vi gør alt dette, er, at vi mener, at det ikke er nok at tilbyde en god og brugervenlig lagertjeneste — vi er også nødt til at være en del af at skabe et bedre og mere privat internet. Dette har været vores mission lige siden vi lancerede, takket være støtte fra fællesskabet, tilbage i 2014, og det fortsætter med at være det i dag. Hvis det lyder som noget, De gerne vil være en del af, så slut Dem til os og opret en gratis Proton Drive-konto i dag.
