A Dropbox foi o primeiro serviço de armazenamento na nuvem convencional disponível e abriu muitos caminhos para a indústria. Infelizmente, também deu muitos passos em falso ao longo dos anos, o pior dos quais foi o incidente da Dropbox em 2012, o maior que a indústria já viu. Elaborámos esta cronologia dos problemas de segurança da Dropbox para que possa decidir por si se este ainda é o fornecedor certo para si.

Se, após ler, estiver pronto para dar o salto, consulte este guia rápido sobre como eliminar a sua conta Dropbox. E, finalmente, ao considerar uma alternativa à Dropbox, também partilhamos informações abaixo sobre o Proton Drive, que é muito mais seguro.

Incidentes de segurança da Dropbox: uma cronologia

A Dropbox foi lançada em 2008 e, desde 2011, tem sofrido algum tipo de incidente quase todos os anos, embora o ritmo tenha abrandado um pouco recentemente. Ainda assim, ao decidir em que serviço de armazenamento na nuvem confiar para os seus ficheiros, é importante analisar o seu historial.

2011: Erro de palavra-passe da Dropbox

O primeiro escândalo da Dropbox surgiu em junho de 2011, apenas três anos após a sua fundação. Devido a um erro, durante um período de cerca de quatro horas, o sistema da Dropbox aceitava qualquer palavra-passe(nova janela) que lhe fosse fornecida, o que significa que qualquer pessoa poderia aceder a qualquer conta, desde que soubesse o nome de utilizador ou o e-mail — um bom argumento para utilizar um nome de utilizador seguro.

Dito isto, deve notar-se que a correção efetiva do problema demorou apenas cinco minutos à equipa da Dropbox, uma vez notificada do mesmo. No entanto, durante essas quatro horas, todas as contas Dropbox estiveram escancaradas. Foi pura sorte que nenhum atacante tenha descoberto a vulnerabilidade nesse intervalo de tempo.

2012: Incidente na Dropbox, 68 milhões de palavras-passe comprometidas

Em julho de 2012, a Dropbox comunicou(nova janela) que alguns nomes de utilizador e palavras-passe foram roubados de outros sítios e depois utilizados para aceder à Dropbox (um bom motivo para criar palavras-passe fortes para cada sítio separadamente). A Dropbox respondeu implementando medidas de segurança para dificultar o acesso não autorizado.

Até aqui tudo bem, mas em 2016 veio a lume que a Dropbox não tinha contado a história toda(nova janela): entre os pirateados em 2012 estava um funcionário da Dropbox que também tinha utilizado a sua palavra-passe da empresa no LinkedIn. Isto deu aos atacantes acesso aos sistemas da Dropbox.

Assim que a notícia foi tornada pública em 2016 — quatro anos após o incidente inicial — depressa se soube que cerca de 68 milhões de utilizadores tinham sido comprometidos, tornando-o no maior ataque da história do armazenamento na nuvem e num dos maiores da história da Internet. Além disso, houve o escândalo da Dropbox, uma empresa enorme, ter demorado quatro anos a reconhecer a escala total dos danos causados.

2013: Alegações do programa PRISM

Quando, em 2013, Edward Snowden revelou ao jornal The Guardian que o governo dos Estados Unidos estava a espiar pessoas em todo o mundo através do programa PRISM, um dos nomes(nova janela) que surgiu foi o da Dropbox. Segundo Snowden, a empresa estava ansiosa por trabalhar com as autoridades dos EUA, apelidando-a de uma “potencial parceira do PRISM(nova janela)”.

Não é claro se a Dropbox alguma vez se juntou ao projeto PRISM — a empresa sempre o negou —, mas o facto de qualquer serviço de armazenamento na nuvem ser descrito como entusiasta em juntar-se a uma conspiração de vigilância massiva deve, provavelmente, fazer as pessoas parar para refletir.

2017: Dados ressuscitados

Em janeiro de 2017, alguns utilizadores da Dropbox depararam-se com algo muito estranho: ficheiros que tinham eliminado, em alguns casos há anos, reapareceram subitamente nas suas contas Dropbox. Após alguma investigação, a Dropbox descobriu que um erro(nova janela) se tinha infiltrado no código, impedindo que ficheiros e pastas fossem eliminados permanentemente.

Embora possa parecer inofensivo à primeira vista, eliminamos frequentemente ficheiros por uma razão, e o facto de dados potencialmente sensíveis poderem ter continuado a existir de forma fantasmagórica, mesmo após terem sido destruídos, é um problema muito grave. Mais uma vez, não é algo que se esperaria de uma empresa como a Dropbox.

2018: Dados partilhados sem consentimento

Em julho de 2018, foi publicado um estudo interessante de Harvard(nova janela) no qual os esforços colaborativos de milhares de pessoas foram utilizados como pontos de dados para determinar como as equipas podem trabalhar em conjunto. Material fascinante que apresentou algumas conclusões muito originais. Os dados utilizados, no entanto, eram dados da Dropbox, e as pessoas envolvidas nunca foram questionadas(nova janela) se poderiam ser utilizados desta forma.

Embora os dados utilizados tenham sido anonimizados antes de serem enviados aos investigadores (algo que não ficou claro na primeira versão do artigo), deve ainda assim deixá-lo desconfortável o facto de um serviço ao qual confiou os seus dados os ter partilhado com terceiros sem o seu consentimento, quer tenham sido anonimizados ou não.

Além disso, poder-se-ia argumentar que os dados anónimos não são assim tão anónimos, uma vez que existem formas de reconstruir a identidade de alguém, mesmo quando os nomes são removidos dos dossiês digitais.

2022: O regresso do ataque de phishing

O escândalo mais recente da Dropbox ocorreu em novembro de 2022, quando, mais uma vez, as credenciais de um funcionário da Dropbox foram roubadas(nova janela) durante um ataque de phishing.

Desta vez, os atacantes fizeram-se passar pelo GitHub, um site onde os programadores guardam o seu código. Neste caso, os ladrões levaram e-mails e palavras-passe pertencentes tanto a funcionários como a clientes da Dropbox. Note-se também que foi o próprio GitHub que sinalizou o ataque, e não a Dropbox.

Em resposta, a Dropbox afirmou que em nenhum momento os ficheiros dos clientes estiveram em perigo, nem nenhum dos seus módulos principais — as partes que compõem a Dropbox e que, por isso, poderiam ameaçar todo o sistema se fossem expostas. Tiveram sorte, mas é uma consolação fraca para qualquer pessoa cujo e-mail tenha sido utilizado por cibercriminosos.

O que pode utilizar em vez da Dropbox?

Como demonstra a cronologia acima, a Dropbox poderia fazer muito melhor do que faz — e do que tem feito. Embora não esteja ao nível de gravidade da LastPass, já falhou em mais do que uma ocasião. Frequentemente, a amplitude e a gravidade dos incidentes não foram reportadas pela Dropbox, o que sugere uma falta de consciência ou transparência. E, na maioria das vezes, os incidentes foram causados por práticas de segurança deficientes.

Em particular, a falta de encriptação ponto a ponto da Dropbox é preocupante. Quando um serviço de armazenamento na nuvem protege os seus ficheiros com encriptação ponto a ponto, significa que os seus dados são encriptados no seu dispositivo antes de irem para a nuvem. Qualquer incidente subsequente nos servidores da nuvem não resultaria na exposição de quaisquer dados. Analisamos estes e outros aspetos com mais detalhes no nosso artigo sobre a segurança da Dropbox.

Foi a pensar nestas falhas dos principais fornecedores de armazenamento na nuvem que desenvolvemos o Proton Drive, uma alternativa segura com encriptação ponto a ponto que oferece segurança de topo e uma experiência de utilizador agradável, tudo num só serviço. Mesmo que quiséssemos ver os seus dados — e não queremos, porque o nosso modelo de negócio baseia-se em proteger a sua privacidade — simplesmente não conseguiríamos aceder-lhes de qualquer forma.

Esta promessa de privacidade tem estado no centro da Proton desde que fomos fundados e, graças aos nossos apoiantes, conseguimos fazê-lo sem necessidade de financiamento externo. Por isso, a nossa única obrigação é perante si, a nossa comunidade.

Se a utilização de uma opção de armazenamento na nuvem segura e privada lhe parece bem, junte-se gratuitamente ao Proton Drive e experimente como seria uma Web privada.