Oś czasu problemów z bezpieczeństwem Dropbox

Dropbox był pierwszą dostępną popularną usługą przechowywania w chmurze i wyznaczył wiele szlaków dla branży. Niestety, na przestrzeni lat popełnił również wiele błędów, z których najgorszym było naruszenie bezpieczeństwa Dropbox w 2012 roku — największe, jakie widziała branża. Przygotowaliśmy tę oś czasu problemów z bezpieczeństwem Dropbox, abyś mógł samodzielnie zdecydować, czy to nadal dostawca dla Ciebie.

Jeśli po lekturze zechcesz wykonać krok dalej, sprawdź ten szybki przewodnik dotyczący usuwania konta Dropbox. Na koniec, rozważając alternatywę dla Dropbox, poniżej udostępniamy również informacje o Proton Drive, który jest znacznie bezpieczniejszy.

• Naruszenia bezpieczeństwa Dropbox: oś czasu
  • 2011
  • 2012
  • 2013
  • 2017
  • 2018
  • 2022
• Czego możesz używać zamiast Dropbox?

Naruszenia bezpieczeństwa Dropbox: oś czasu

Dropbox powstał w 2008 roku i od 2011 niemal co roku doświadcza jakiegoś rodzaju naruszenia, choć ostatnio tempo to nieco spadło. Niemniej jednak, decydując, której usłudze przechowywania w chmurze powierzyć swoje pliki, ważne jest, aby przyjrzeć się jej dotychczasowej historii.

2011: Błąd haseł w Dropbox

Pierwszy skandal związany z Dropboxem wybuchł w czerwcu 2011 roku, zaledwie trzy lata po jego założeniu. Z powodu błędu, przez okres około czterech godzin system Dropbox akceptował każde podane hasło(nowe okno), co oznaczało, że każdy mógł uzyskać dostęp do dowolnego konta, o ile znał nazwę użytkownika lub e-mail — co jest dobrym argumentem za używaniem bezpiecznej nazwy użytkownika.

Warto jednak zauważyć, że faktyczne naprawienie problemu zajęło zespołowi Dropbox zaledwie pięć minut od momentu otrzymania powiadomienia. Niemniej jednak, w ciągu tych czterech godzin każde konto Dropbox stało otworem. To czysty fart, że w tym czasie żadni atakujący nie dowiedzieli się o tej podatności.

2012: Naruszenie bezpieczeństwa Dropbox, zagrożonych 68 milionów haseł

W lipcu 2012 roku Dropbox poinformował(nowe okno), że niektóre nazwy użytkowników i hasła zostały skradzione z innych witryn, a następnie wykorzystane do uzyskania dostępu do Dropboxa (dobry powód, by tworzyć silne hasła oddzielnie dla każdej witryny). Dropbox zareagował, wdrażając środki bezpieczeństwa mające utrudnić nieautoryzowany dostęp.

Do tej pory wszystko brzmi nieźle, ale w 2016 roku wyszło na jaw, że Dropbox nie opowiedział całej historii(nowe okno): wśród osób zhakowanych w 2012 roku był pracownik Dropboxa, który używał swojego hasła służbowego również w serwisie LinkedIn. Dało to atakującym dostęp do systemów Dropboxa.

Gdy w 2016 roku – cztery lata po początkowym naruszeniu – sprawa wyszła na jaw, szybko okazało się, że dane około 68 milionów użytkowników zostały zagrożone, co uczyniło ten incydent największym atakiem hakerskim w historii chmury i jednym z największych w historii internetu w ogóle. Na dodatek wybuchł skandal związany z tym, że Dropbox – ogromna firma – potrzebował aż czterech lat, aby przyznać, jaka była pełna skala wyrządzonych szkód.

2013: zarzuty dotyczące programu PRISM

Kiedy w 2013 roku Edward Snowden ujawnił gazecie The Guardian, że rząd Stanów Zjednoczonych szpieguje ludzi na całym świecie za pośrednictwem programu PRISM, jedną z nazw(nowe okno), które się pojawiły, był Dropbox. Według Snowdena firma chętnie współpracowała z władzami USA, a on sam nazwał ją „potencjalnym partnerem PRISM(nowe okno)”.

Nie jest jasne, czy Dropbox kiedykolwiek dołączył do projektu PRISM – firma zawsze temu zaprzeczała – ale fakt, że jakakolwiek usługa chmury mogłaby zostać opisana jako entuzjastycznie nastawiona do udziału w masowym spisku inwigilacyjnym, powinien prawdopodobnie dać ludziom do myślenia.

2017: wskrzeszone dane

W styczniu 2017 roku niektórzy użytkownicy Dropboxa natknęli się na coś bardzo dziwnego: pliki, które usunęli (w niektórych przypadkach lata temu), nagle ponownie pojawiły się na ich kontach. Po przeprowadzeniu dochodzenia Dropbox wykrył błąd(nowe okno), który wkradł się do kodu i uniemożliwiał trwałe usuwanie plików oraz folderów z serwerów.

Choć na pierwszy rzut oka może się to wydawać nieszkodliwe, często usuwamy pliki z konkretnego powodu, a fakt, że potencjalnie wrażliwe dane mogły krążyć niczym duchy nawet po ich zniszczeniu, jest bardzo poważnym problemem. Ponownie, nie jest to coś, czego można by oczekiwać od firmy takiej jak Dropbox.

2018: udostępnianie danych bez zgody

W lipcu 2018 roku opublikowano ciekawe badanie Harvardu(nowe okno), w którym wysiłki tysięcy ludzi współpracujących ze sobą zostały wykorzystane jako punkty danych do ustalenia, jak zespoły mogą ze sobą współdziałać. To pasjonujący materiał z bardzo oryginalnymi wnioskami. Jednak wykorzystane dane pochodziły z Dropboxa, a osób, których dotyczyły, nigdy nie zapytano(nowe okno), czy mogą zostać użyte w ten sposób.

Chociaż użyte dane zostały zanonimizowane przed wysłaniem ich do badaczy (co nie zostało wyjaśnione w pierwszej wersji artykułu), nadal możesz czuć dyskomfort, że usługa, której powierzasz swoje dane, udostępniła je stronom trzecim bez Twojej zgody, niezależnie od tego, czy były zanonimizowane, czy nie.

Co więcej, można argumentować, że anonimowe dane wcale nie są takie anonimowe, ponieważ istnieją sposoby na zrekonstruowanie czyjejś tożsamości, nawet jeśli nazwiska zostaną usunięte z cyfrowych kartotek.

2022: powrót ataków typu phishing

Ostatni skandal z udziałem Dropboxa miał miejsce w listopadzie 2022 roku, kiedy to po raz kolejny dane logowania pracownika firmy zostały skradzione(nowe okno) podczas próby wyłudzenia informacji.

Tym razem atakujący podszywali się pod GitHub, czyli stronę, na której programiści przechowują swój kod. W tym przypadku złodzieje uciekli z wiadomościami e-mail i hasłami należącymi zarówno do pracowników Dropboxa, jak i klientów. Należy również zauważyć, że to sam GitHub zgłosił atak, a nie Dropbox.

W odpowiedzi Dropbox oświadczył, że pliki klientów nigdy nie były zagrożone, podobnie jak żadne z kluczowych modułów – części, z których składa się Dropbox i które w przypadku ujawnienia mogłyby zagrozić całemu systemowi. To szczęście dla nich, ale marna pociecha dla każdego, czyja wiadomość e-mail została wykorzystana przez cyberprzestępców.

Czego możesz używać zamiast Dropboxa?

Jak pokazuje powyższa oś czasu, Dropbox mógłby radzić sobie znacznie lepiej niż obecnie – i niż robił to w przeszłości. Choć sytuacja nie jest tak zła jak w przypadku LastPass, firma zaliczyła wpadkę więcej niż raz. Często Dropbox nie zgłaszał zakresu i powagi incydentów, co sugeruje brak świadomości lub przejrzystości. Najczęściej naruszenia były spowodowane słabymi praktykami w zakresie bezpieczeństwa.

W szczególności niepokojący jest brak szyfrowania end-to-end w Dropboxie. Gdy usługa chmury chroni Twoje pliki za pomocą szyfrowania end-to-end, oznacza to, że Twoje dane są szyfrowane na Twoim urządzeniu przed wysłaniem ich do chmury. Wszelkie późniejsze naruszenia serwerów w chmurze nie skutkowałyby ujawnieniem żadnych danych. Więcej szczegółów na ten i inne tematy znajdziesz w naszym artykule o bezpieczeństwie Dropboxa.

Mając na uwadze te wady głównych dostawców chmury, opracowaliśmy Proton Drive – bezpieczną, zaszyfrowaną end-to-end alternatywę, która oferuje najwyższej klasy bezpieczeństwo i przyjemne doświadczenie użytkownika w jednym. Nawet gdybyśmy chcieli zobaczyć Twoje dane – a nie chcemy, ponieważ naszym modelem biznesowym jest ochrona Twojej prywatności – po prostu i tak nie mamy do nich dostępu.

Ta obietnica prywatności leży u podstaw Protona od momentu naszego powstania i dzięki naszym zwolennikom mogliśmy ją realizować bez potrzeby korzystania z zewnętrznego finansowania. Tak więc nasze jedyne zobowiązanie jest wobec Ciebie i naszej społeczności.

Jeśli opcja korzystania z bezpiecznej i prywatnej chmury brzmi dla Ciebie dobrze, dołącz do Proton Drive za darmo i zobacz, jak mogłaby wyglądać prywatna sieć.