Dropbox è stato il primo servizio di archiviazione cloud mainstream disponibile e ha aperto molte strade nel settore. Purtroppo, nel corso degli anni ha anche commesso molti passi falsi, il peggiore dei quali è stata la violazione di Dropbox del 2012, la più grande che il settore abbia mai visto. Abbiamo messo insieme questa cronologia dei problemi di sicurezza di Dropbox affinché tu possa decidere se sia ancora il fornitore adatto a te.

Se dopo aver letto sei pronto a fare il salto, dai un’occhiata a questa guida rapida per eliminare il tuo account Dropbox. Infine, mentre consideri un’alternativa a Dropbox, condividiamo qui sotto anche informazioni su Proton Drive, che è molto più sicuro.

Violazioni della sicurezza di Dropbox: una cronologia

Dropbox è stato lanciato nel 2008 e dal 2011 ha subito qualche tipo di violazione quasi ogni anno, anche se il ritmo è rallentato un po’ di recente. Tuttavia, quando decidi a quale servizio di archiviazione cloud affidare i tuoi File, è importante guardare i loro precedenti.

2011: Bug della password di Dropbox

Il primo scandalo di Dropbox è arrivato nel giugno 2011, solo tre anni dopo la sua fondazione. A causa di un bug, per un periodo di circa quattro ore il sistema di Dropbox accettava qualsiasi password(nuova finestra) gli venisse fornita, il che significava che chiunque poteva accedere a qualsiasi account purché conoscesse il nome utente o l’email — un ottimo motivo per usare un nome utente sicuro.

Detto questo, va notato che per risolvere effettivamente il problema il team di Dropbox ha impiegato solo cinque minuti una volta ricevuta la notifica. Tuttavia, durante quelle quattro ore ogni account Dropbox è rimasto spalancato. È stata pura fortuna che nessun aggressore abbia scoperto la vulnerabilità in quel lasso di tempo.

2012: Violazione di Dropbox, 68 milioni di password compromesse

Nel luglio 2012, Dropbox ha riferito(nuova finestra) che alcuni nomi utente e password erano stati rubati da altri siti e poi utilizzati per accedere a Dropbox (un buon motivo per creare password robuste separatamente per ogni sito). Dropbox ha risposto implementando misure di sicurezza per rendere più difficile l’accesso non autorizzato.

Fin qui tutto bene, ma nel 2016 è emerso che Dropbox non aveva raccontato tutta la storia(nuova finestra): tra le persone hackerate nel 2012 c’era un dipendente di Dropbox che aveva usato la sua password aziendale anche su LinkedIn. Questo ha dato agli aggressori l’accesso ai sistemi di Dropbox.

Quando la notizia è emersa nel 2016 — quattro anni dopo la violazione iniziale — si è scoperto rapidamente che circa 68 milioni di utenti erano stati compromessi, rendendolo il più grande attacco nella storia dell’archiviazione cloud e uno dei più grandi nella storia di Internet, punto. A ciò si è aggiunto lo scandalo di Dropbox, un’azienda enorme, che ha impiegato quattro anni per riconoscere la reale entità del danno arrecato.

2013: accuse relative a PRISM

Quando nel 2013 Edward Snowden rivelò al quotidiano The Guardian che il governo degli Stati Uniti stava spiando persone in tutto il mondo attraverso il programma PRISM, uno dei nomi(nuova finestra) emersi fu quello di Dropbox. Secondo Snowden, l’azienda era ansiosa di collaborare con le autorità statunitensi, definendola un “aspirante partner di PRISM(nuova finestra)”.

Non è chiaro se Dropbox si sia mai unita al progetto PRISM — l’azienda ha sempre negato di averlo fatto — ma il fatto che un qualsiasi servizio di archiviazione cloud venga descritto come entusiasta di partecipare a una massiccia cospirazione di sorveglianza dovrebbe probabilmente far riflettere.

2017: dati risorti

A gennaio 2017, alcuni utenti di Dropbox hanno riscontrato qualcosa di molto strano: File che avevano eliminato, in alcuni casi anni prima, sono improvvisamente riapparsi nei loro account Dropbox. Dopo alcune ricerche, Dropbox ha scoperto un bug(nuova finestra) che si era insinuato nel codice e che impediva l’eliminazione permanente di file e cartelle.

Anche se all’inizio può sembrare innocuo, spesso eliminiamo i file per un motivo e il fatto che dati potenzialmente sensibili possano aver continuato a vivere un’esistenza spettrale anche dopo essere stati distrutti è un problema molto serio. Ancora una volta, non è qualcosa che ti aspetteresti da un’azienda come Dropbox.

2018: dati condivisi senza consenso

Nel luglio 2018 è stato pubblicato un interessante studio di Harvard(nuova finestra) in cui gli sforzi collaborativi di migliaia di persone sono stati utilizzati come punti dati per determinare come i team possano lavorare insieme. Materiale avvincente che ha portato a conclusioni molto originali. I dati utilizzati, tuttavia, provenivano da Dropbox e alle persone coinvolte non è mai stato chiesto(nuova finestra) se potessero essere usati in questo modo.

Sebbene i dati utilizzati fossero anonimizzati prima di essere inviati ai ricercatori (cosa che non era stata chiarita nella prima versione dell’articolo), dovrebbe comunque farti sentire a disagio il fatto che un servizio a cui hai affidato i tuoi dati li abbia condivisi con terze parti senza il tuo consenso, che fossero anonimizzati o meno.

Oltre a questo, si potrebbe obiettare che i dati anonimi non sono poi così anonimi, poiché esistono modi per ricostruire l’identità di qualcuno anche quando i nomi vengono rimossi dai dossier digitali.

2022: il ritorno dell’attacco di phishing

Il più recente scandalo di Dropbox risale a novembre 2022, quando ancora una volta le credenziali di un dipendente di Dropbox sono state rubate(nuova finestra) durante un attacco di phishing.

Questa volta, gli aggressori si sono spacciati per GitHub, un sito dove gli sviluppatori archiviano il proprio codice. In questo caso, i ladri si sono impossessati di email e password appartenenti sia ai dipendenti di Dropbox che ai clienti. Va inoltre notato che è stata la stessa GitHub a segnalare l’attacco, non Dropbox.

In risposta, Dropbox ha dichiarato che in nessun momento i File dei clienti sono stati in pericolo, né lo sono stati i suoi moduli principali, ovvero le parti che compongono Dropbox e che potrebbero quindi minacciare l’intero sistema se esposte. Fortunati loro, ma è una magra consolazione per chiunque abbia visto la propria email usata dai criminali informatici.

Cosa puoi usare al posto di Dropbox?

Come dimostra la cronologia qui sopra, Dropbox potrebbe fare molto meglio di quanto faccia — e di quanto abbia fatto. Anche se non siamo ai livelli di gravità di LastPass, ha fallito in più di un’occasione. Spesso la portata e la gravità degli incidenti non sono state segnalate da Dropbox, suggerendo una mancanza di consapevolezza o trasparenza. E il più delle volte le violazioni sono state causate da scarse pratiche di sicurezza.

In particolare, la mancanza di crittografia end-to-end di Dropbox è preoccupante. Quando un servizio di archiviazione cloud protegge i tuoi File con la crittografia end-to-end, significa che i tuoi dati vengono crittografati sul tuo dispositivo prima di passare al cloud. Qualsiasi successiva violazione dei server cloud non comporterebbe l’esposizione di alcun dato. Approfondiamo questi e altri dettagli nel nostro articolo sulla sicurezza di Dropbox.

È proprio tenendo a mente questi difetti dei principali fornitori di archiviazione cloud che abbiamo sviluppato Proton Drive, un’alternativa sicura e crittografata end-to-end che offre sicurezza all’avanguardia e un’esperienza utente piacevole, tutto in uno. Anche se volessimo vedere i tuoi dati — e non vogliamo, perché il nostro modello di business consiste nel proteggere la tua privacy — semplicemente non potremmo accedervi comunque.

Questa promessa di privacy è stata al centro di Proton fin dalla nostra fondazione e, grazie ai nostri sostenitori, siamo stati in grado di mantenerla senza bisogno di finanziamenti esterni. Quindi il nostro unico obbligo è verso di te, la nostra comunità.

Se l’idea di usare un’opzione di archiviazione cloud sicura e privata ti piace, iscriviti a Proton Drive gratuitamente e scopri come sarebbe un web privato.