Dropbox oli ensimmäinen saatavilla oleva valtavirran pilvitallennuspalvelu ja on raivannut tietä monille muille alalla. Valitettavasti se on myös tehnyt useita harha-askelia vuosien varrella, joista pahin oli vuoden 2012 Dropbox-murto, suurin mitä alalla on nähty. Koosimme tämän aikajanan Dropboxin tietoturvaongelmista, jotta voitte itse päättää, onko tämä edelleen teille sopiva palveluntarjoaja.

Jos olette lukemisen jälkeen valmiita vaihtamaan palvelua, tutustukaa tähän pikaoppaaseen Dropbox-tilin poistamisesta. Harkitessanne vaihtoehtoa Dropboxille jaamme alla tietoa myös Proton Drivesta, joka on huomattavasti turvallisempi.

Dropboxin tietoturvamurrot: aikajana

Dropbox perustettiin vuonna 2008, ja vuodesta 2011 lähtien se on kokenut jonkinlaisen murron lähes joka vuosi, vaikka tahti on viime aikoina hieman hidastunut. Silti päätettäessä siitä, mihin pilvitallennuspalveluun luotatte tiedostojenne suhteen, on tärkeää tarkastella heidän historiaansa.

2011: Dropboxin salasanavika

Dropboxin ensimmäinen skandaali tapahtui kesäkuussa 2011, vain kolme vuotta perustamisen jälkeen. Vian vuoksi Dropbox-järjestelmä hyväksyi minkä tahansa salasanan(uusi ikkuna) noin neljän tunnin ajan, mikä tarkoitti, että kuka tahansa pystyi käyttämään mitä tahansa tiliä, kunhan tiesi käyttäjätunnuksen tai sähköpostin – tämä on hyvä syy käyttää turvallista käyttäjätunnusta.

Todettakoon kuitenkin, että itse ongelman korjaaminen vei Dropbox-tiimiltä vain viisi minuuttia siitä, kun heille ilmoitettiin asiasta. Noin neljän tunnin ajan jokainen Dropbox-tili oli kuitenkin täysin avoinna. Oli puhdasta tuuria, ettei kukaan hyökkääjä saanut tietää haavoittuvuudesta tuon ajan kuluessa.

2012: Dropbox-murto, 68 miljoonaa salasanaa vaarantui

Heinäkuussa 2012 Dropbox raportoi(uusi ikkuna), että joitakin käyttäjätunnuksia ja salasanoja varastettiin muilta sivustoilta ja niitä käytettiin Dropboxin käyttämiseen (hyvä syy luoda vahvat salasanat jokaiselle sivustolle erikseen). Dropbox vastasi ottamalla käyttöön turvatoimia, joilla luvaton pääsy tehtiin vaikeammaksi.

Tähän asti kaikki näytti hyvältä, mutta vuonna 2016 kävi ilmi, että Dropbox ei ollut kertonut koko totuutta(uusi ikkuna): vuonna 2012 hakkeroidun joukossa oli Dropboxin työntekijä, joka oli käyttänyt yrityksen salasanaansa myös LinkedInissä. Tämä antoi hyökkääjille pääsyn Dropboxin järjestelmiin.

Kun uutinen tuli ilmi vuonna 2016 – neljä vuotta alkuperäisen tietomurron jälkeen – paljastui pian, että noin 68 miljoonaa käyttäjää oli altistettu, mikä teki siitä pilvitallennushistorian suurimman hakkeroinnin ja yhden internet-historian suurimmista. Tämän lisäksi puhkesi skandaali siitä, että Dropboxin kaltaiselta jättiyhtiöltä kesti neljä vuotta tunnustaa vahinkojen koko laajuus.

2013: PRISM-väitteet

Kun Edward Snowden vuonna 2013 paljasti The Guardian -lehdelle, että Yhdysvaltain hallitus vakoili ihmisiä ympäri maailmaa PRISM-ohjelman kautta, yksi esiin tulleista nimistä(uusi ikkuna) oli Dropbox. Snowdenin mukaan yhtiö oli innokas tekemään yhteistyötä Yhdysvaltain viranomaisten kanssa, kutsuen sitä ”PRISM-kumppaniksi haluavaksi(uusi ikkuna)”.

On epäselvää, liittyikö Dropbox koskaan PRISM-projektiin – yhtiö on aina kieltänyt tehneensä niin – mutta ihmisten tulisi luultavasti pysähtyä miettimään sitä, että mitä tahansa pilvitallennuspalvelua kuvailtaisiin innokkaaksi osallistumaan massiiviseen valvontasaliittoon.

2017: Kuolleista heränneet tiedot

Tammikuussa 2017 jotkut Dropboxin käyttäjät kohtasivat jotain hyvin outoa: tiedostot, jotka he olivat poistaneet – joissakin tapauksissa vuosia sitten – ilmestyivät yhtäkkiä uudelleen heidän Dropbox-tileilleen. Tutkimusten jälkeen Dropbox löysi vian(uusi ikkuna), joka oli hiipinyt koodiin ja estänyt tiedostojen ja kansioiden pysyvän poistamisen.

Vaikka se saattaa aluksi vaikuttaa harmittomalta, poistamme usein tiedostoja syystä, ja se, että mahdollisesti arkaluonteiset tiedot ovat saattaneet jäädä elämään haamumaista elämää jopa tuhoamisen jälkeen, on erittäin vakava ongelma. Jälleen kerran, tätä ei odottaisi Dropboxin kaltaiselta yritykseltä.

2018: Tietojen jakaminen ilman suostumusta

Heinäkuussa 2018 julkaistiin mielenkiintoinen Harvardin tutkimus(uusi ikkuna), jossa tuhansien ihmisten yhteistyöpanoksia käytettiin tietopisteinä sen määrittämiseksi, miten tiimit voivat työskennellä yhdessä. Kiehtovaa materiaalia, jossa tehtiin joitakin hyvin alkuperäisiä havaintoja. Käytetyt tiedot olivat kuitenkin peräisin Dropboxista, eikä osallistuneilta ihmisiltä koskaan kysytty(uusi ikkuna), saako niitä käyttää tällä tavalla.

Vaikka käytetyt tiedot anonymisoitiin ennen niiden lähettämistä tutkijoille (mitä ei tehty selväksi artikkelin ensimmäisessä versiossa), pitäisi silti tuntua epämiellyttävältä, että palvelu, jolle uskoitte tietonne, jakoi ne kolmansien osapuolten kanssa ilman suostumustanne, olivat ne anonymisoituja tai eivät.

Sen lisäksi voitaisiin väittää, että anonyymit tiedot eivät ole lainkaan niin anonyymejä, sillä on olemassa tapoja koota jonkun henkilöllisyys uudelleen, vaikka nimet on poistettu digitaalisista asiakirjoista.

2022: Tietojenkalasteluhyökkäyksen paluu

Tuorein Dropbox-skandaali tapahtui marraskuussa 2022, jolloin jälleen kerran Dropboxin työntekijän kirjautumistiedot varastettiin(uusi ikkuna) tietojenkalasteluhyökkäyksen aikana.

Tällä kertaa hyökkääjät tekeytyivät GitHubiksi, sivustoksi, jonne kehittäjät tallentavat koodinsa. Tässä tapauksessa varkaat saivat haltuunsa sekä Dropboxin työntekijöiden että asiakkaiden sähköpostiosoitteita ja salasanoja. Huomionarvoista on myös se, että GitHub itse ilmoitti hyökkäyksestä, ei Dropbox.

Vastauksena Dropbox totesi, etteivät asiakkaiden tiedostot olleet missään vaiheessa vaarassa, eivätkä myöskään yhtiön ydinmoduulit, eli ne osat, joista Dropbox muodostuu ja jotka siten voisivat paljastuessaan vaarantaa koko järjestelmän. Onni heille, mutta se on laiha lohtu kenelle tahansa, jonka sähköpostia kyberrikolliset käyttivät.

Mitä voitte käyttää Dropboxin sijaan?

Kuten yllä oleva aikajana osoittaa, Dropbox voisi toimia paljon paremmin kuin se toimii – ja on toiminut. Vaikka se ei ole LastPassin tasoista huonoutta, se on epäonnistunut useammin kuin kerran. Usein Dropbox ei ole raportoinut tapausten laajuutta ja vakavuutta, mikä viittaa tietoisuuden tai avoimuuden puutteeseen. Ja useimmiten murrot johtuivat huonoista tietoturvakäytännöistä.

Erityisesti Dropboxin päästä päähän -salauksen puute on huolestuttavaa. Kun pilvitallennuspalvelu suojaa tiedostonne päästä päähän -salauksella, se tarkoittaa, että tietonne salataan laitteellanne ennen niiden siirtymistä pilveen. Mahdollinen myöhempi murto pilvipalvelimille ei johtaisi tietojen paljastumiseen. Perehdymme näihin ja muihin asioihin tarkemmin artikkelissamme, joka käsittelee Dropboxin tietoturvaa.

Juuri nämä perinteisten pilvitallennuspalveluiden puutteet mielessämme kehitimme Proton Driven, turvallisen ja päästä päähän -salatun vaihtoehdon, joka tarjoaa huippuluokan tietoturvan ja miellyttävän käyttäjäkokemuksen samassa paketissa. Vaikka haluaisimme nähdä tietonne – mitä emme halua, koska liiketoimintamallimme on yksityisyytenne suojaaminen – emme yksinkertaisesti pääse niihin käsiksi.

Tämä lupaus yksityisyydestä on ollut Protonin ytimessä perustamisestamme lähtien, ja tukijoidemme ansiosta olemme voineet toimia näin ilman ulkopuolista rahoitusta. Ainoa velvollisuutemme on siis teitä, yhteisöämme, kohtaan.

Jos turvallisen ja yksityisen pilvitallennusvaihtoehdon käyttö kuulostaa hyvältä, liittykää Proton Driveen ilmaiseksi ja kokeilkaa, millainen yksityinen verkko voisi olla.