Dropbox to jedna z najpopularniejszych marek w świecie przestrzeni dyskowej w chmurze, dlatego może Cię zaskoczyć informacja, że nie stosuje on najbezpieczniejszych algorytmów szyfrowania i nie chroni Twojej prywatności.
Choć Dropbox jest odporny na ataki z zewnątrz, w przeszłości doświadczał naruszeń danych. Nie stosuje również szyfrowania end-to-end, a firma może uzyskać dostęp do Twoich plików w dowolnym momencie. W tym artykule wyjaśnimy, co to oznacza i jak możesz za darmo chronić swoje pliki w chmurze bez rezygnowania z prywatności.
Czy Dropbox jest szyfrowany?
Na pierwszy rzut oka Dropbox oferuje solidne bezpieczeństwo, zarówno podczas przesyłania danych do i z Twojego urządzenia, jak i podczas ich przechowywania na serwerach. Bezpieczeństwo przesyłu jest obsługiwane przez TLS — standardowy, ale potężny protokół szyfrowania używany przez niemal wszystkie usługi online. Na przykład my również używamy go do szyfrowania Twojego połączenia internetowego, podczas gdy Ty czytasz ten artykuł.
Gdy pliki dotrą na serwery Dropbox, są odszyfrowywane w momencie otrzymania, a następnie ponownie szyfrowane, tym razem przy użyciu AES-256. Jest to bezpieczny algorytm szyfrowania stosowany przez rządy, wojsko i korporacje na całym świecie. W Protonie sami używamy go we wszystkich naszych usługach.
Ta metoda, w której pliki są szyfrowane podczas przesyłu, a następnie odszyfrowywane przed ponownym zaszyfrowaniem w spoczynku, jest stosowana przez wiele usług przestrzeni dyskowej w chmurze w celu ochrony przed cyberprzestępcami. Problem polega na tym, że Dropbox pomija kluczowe zagrożenie dla Twojego bezpieczeństwa i prywatności: samego siebie.
Jak bezpieczny jest naprawdę Dropbox?
Mówiąc o bezpieczeństwie, zazwyczaj masz na myśli zagrożenia zewnętrzne. Wynajmując boks magazynowy, zakładasz na nim kłódkę, by mieć pewność, że nikt do niego nie wejdzie i nie ukradnie Twoich rzeczy. Nie martwisz się, że stare meble same uciekną.
Jednak w przypadku danych musisz się trochę martwić o to, co z Twoimi informacjami robią osoby, u których je przechowujesz. Nie ma znaczenia, jak dobrze usługa chroni Cię przed atakiem z zewnątrz — nie jest ona naprawdę bezpieczna, jeśli pracownicy firmy mogą mieć dostęp do Twoich plików.
W przypadku boksu magazynowego możesz użyć własnych zamków, aby tylko Ty posiadał klucze. W cyfrowej przestrzeni dyskowej możesz skorzystać z czegoś, co nazywa się szyfrowaniem end-to-end (zwanym również szyfrowaniem po stronie klienta). To metoda bezpieczeństwa, w której pliki są szyfrowane automatycznie na Twoim urządzeniu przed przesłaniem na serwer. Twój dostawca nie ma klucza do Twoich danych, a pliki są niedostępne dla osób obsługujących usługę.
Dropbox w żaden sposób nie oferuje szyfrowania end-to-end. Jak firma wyjaśnia na swojej stronie internetowej(nowe okno), jeśli chcesz korzystać z szyfrowania end-to-end, musisz użyć zewnętrznego narzędzia do szyfrowania i przesłać zaszyfrowane pliki do Dropboxa. Jest to niewygodne i uniemożliwia działanie wielu krytycznych funkcji, takich jak synchronizacja plików.
Dropbox z pewnością posiada wewnętrzne zabezpieczenia, które mają zapobiegać dostępowi pracowników do danych użytkowników, ale wymaga to dużego zaufania ze strony konsumentów. Nawet jeśli Dropbox skutecznie unika zagrożeń wewnętrznych, istnieje również możliwość błędu ludzkiego. Jednym z największych naruszeń w historii przechowywania danych w chmurze był atak hakerski na Dropbox z 2012 roku(nowe okno), podczas którego pracownik wielokrotnie używał tego samego hasła, co doprowadziło do włamania i zagrożenia haseł 68 milionów użytkowników.
Można by pomyśleć, że pracownik firmy technologicznej wie, by nigdy nie używać tych samych haseł, ale to pokazuje, że błąd ludzki może odegrać istotną rolę nawet w zaawansowanych technologicznie scenariuszach.
Problemy z prywatnością w Dropbox
Poza ryzykiem związanym z bezpieczeństwem brak szyfrowania po stronie klienta oznacza, że Dropbox nie jest prywatny. Jak wyjaśnia Dropbox w swojej Polityce prywatności(nowe okno), udostępnia on Twoje pliki, informacje o koncie, kontakty i inne dane osobowe innym firmom, takim jak Google, Amazon czy OpenAI. Nawet jeśli nie przeszkadza Ci, że Dropbox ma Twoje dane, możesz nie chcieć, aby Dropbox rozpowszechniał je po całym internecie.
Co więcej, Dropbox to amerykańska firma, która musi stosować się do rządowych wniosków o udostępnienie danych. Ponieważ Dropbox może uzyskać dostęp do Twoich plików, firma może również udostępnić te pliki władzom(nowe okno).
Czego używać zamiast Dropboxa
Dropbox mógł być pierwszą usługą chmurową, ale sposób, w jaki traktuje dane klientów, jest przestarzały: nie ma potrzeby rezygnować z szyfrowania po stronie klienta.
W Proton stosujemy szyfrowanie end-to-end we wszystkich naszych usługach, w tym w usłudze przechowywania w chmurze Proton Drive. Dzięki Drive możesz przesyłać, synchronizować, udostępniać, a nawet wyświetlać podgląd swoich plików, mając pewność, że nie mogą one zostać przeczytane przez nikogo poza Tobą i osobami, którym zdecydujesz się je udostępnić — dlatego nazywamy to również szyfrowaniem zero-access.
Dzięki Docs w Proton Drive możesz również cieszyć się swobodą tworzenia i edytowania dokumentów z innymi osobami, wiedząc, że Twoje treści są domyślnie chronione przez szyfrowanie end-to-end.
Nasz kod ma otwarty kod źródłowy i jest audytowany przez niezależnych ekspertów ds. bezpieczeństwa. Daje to naszej społeczności pewność, że nasze szyfrowanie działa tak, jak twierdzimy, i nie musisz wierzyć nam na słowo.
Do tego nie udostępniamy Twoich danych nikomu. Nasz model biznesowy opiera się na subskrypcjach za większą przestrzeń dyskową i dodatkowe funkcje, a nie na reklamach. Nawet gdybyśmy chcieli udostępnić Twoje dane, nie moglibyśmy tego zrobić, ponieważ nie mamy do nich dostępu. Nasze szyfrowanie end-to-end obejmuje nawet ważne metadane.
W przeciwieństwie do Dropboxa nasza siedziba znajduje się w Szwajcarii, gdzie Twoje dane chronione są przez jedne z najsurowszych praw dotyczących prywatności na świecie. Przekazalibyśmy te nieliczne dane, które posiadamy, tylko na polecenie szwajcarskiego sądu.
Powodem, dla którego to wszystko robimy, jest nasze przekonanie, że oferowanie dobrej, łatwej w użyciu usługi przechowywania to za mało — musimy również uczestniczyć w tworzeniu lepszego i bardziej prywatnego internetu. To nasza misja od samego początku, od 2014 roku, kiedy wystartowaliśmy dzięki wsparciu społeczności. Jeśli brzmi to jak coś, czego częścią chcesz zostać, dołącz do nas i już dziś utwórz darmowe konto Proton Drive.
