O Dropbox é um dos nomes mais conhecidos no armazenamento na nuvem, razão pela qual poderá surpreender-se ao saber que não utiliza os algoritmos de encriptação mais seguros e não protege a sua privacidade.
Embora o Dropbox seja seguro contra ataques externos, sofreu incidentes de dados no passado. Também não utiliza encriptação ponto a ponto e a empresa pode aceder aos seus ficheiros a qualquer momento. Neste artigo, explicaremos o que isto significa e como pode proteger os seus ficheiros na nuvem gratuitamente sem abdicar da sua privacidade.
O Dropbox é encriptado?
À primeira vista, o Dropbox oferece uma segurança sólida, tanto em trânsito de e para o seu dispositivo, como em repouso nos seus servidores. A segurança em trânsito é gerida pelo TLS, um protocolo de encriptação padrão mas potente utilizado por quase todos os serviços online. Por exemplo, nós também o utilizamos para encriptar a sua ligação à internet enquanto lê este artigo.
Assim que os ficheiros chegam aos servidores do Dropbox, são desencriptados no ato de receção e, em seguida, encriptados novamente, desta vez utilizando AES-256. Este é um algoritmo de encriptação seguro utilizado por governos, forças militares e empresas em todo o mundo. Nós, na Proton, utilizamo-lo em todos os nossos serviços.
Este método, em que os ficheiros são encriptados em trânsito e depois desencriptados antes de serem novamente encriptados em repouso, é utilizado por muitos serviços de armazenamento na nuvem para proteção contra cibercriminosos. O problema é que o Dropbox ignora uma ameaça fundamental à sua segurança e privacidade: a própria empresa.
Quão seguro é realmente o Dropbox?
Quando se fala de segurança, normalmente refere-se a ameaças externas. Quando aluga uma unidade de armazenamento, coloca um cadeado para garantir que ninguém entra e rouba os seus bens. Não está preocupado com a possibilidade de os seus móveis antigos fugirem sozinhos.
No entanto, quando se trata de dados, é necessário preocupar-se um pouco com o que é feito com a sua informação pelas pessoas com quem a armazena. Não importa quão bem o serviço o protege de ataques externos; não é realmente seguro se os funcionários da empresa puderem aceder aos seus ficheiros.
No caso da unidade de armazenamento, pode utilizar os seus próprios cadeados para que apenas você tenha as chaves. Com o armazenamento digital, pode utilizar algo chamado encriptação ponto a ponto (também designada por encriptação do lado do cliente), um método de segurança no qual os ficheiros são encriptados automaticamente no seu dispositivo antes de serem carregados para o servidor. O seu fornecedor de armazenamento não tem uma chave para os seus dados e os ficheiros estão inacessíveis para as pessoas que operam o serviço.
O Dropbox não oferece encriptação ponto a ponto de forma alguma. Como a empresa esclarece no seu sítio web(nova janela), se pretender utilizar encriptação ponto a ponto, terá de utilizar uma ferramenta de encriptação de terceiros e carregar os ficheiros encriptados para o Dropbox. Isto é inconveniente e torna impossíveis muitas funções críticas, como a sincronização de ficheiros.
O Dropbox tem certamente salvaguardas internas para impedir que os seus funcionários acedam aos dados dos utilizadores, mas isto requer muita confiança por parte dos consumidores. Mesmo que o Dropbox evite com sucesso ameaças internas, existe também a possibilidade de erro humano. Um dos maiores incidentes na história do armazenamento na nuvem foi o ataque ao Dropbox em 2012(nova janela), onde um funcionário reutilizou a sua palavra-passe, foi alvo de pirataria e deixou as palavras-passe de 68 milhões de utilizadores comprometidas.
Poderia pensar-se que o funcionário de uma empresa tecnológica saberia nunca reutilizar palavras-passe, mas isto demonstra que o erro humano pode desempenhar um papel importante mesmo em cenários de alta tecnologia.
Problemas de privacidade do Dropbox
Para além dos riscos de segurança, a falta de encriptação do lado do cliente significa que o Dropbox não é privado. Como o Dropbox explica na sua política de privacidade(nova janela), partilha os seus ficheiros, informações de conta, contactos e outros dados pessoais com outras empresas, como a Google, Amazon e OpenAI. Mesmo que não se importe que o Dropbox tenha os seus dados, poderá não querer que o Dropbox os espalhe pela internet.
Além disso, o Dropbox é uma empresa americana que deve cumprir os pedidos governamentais de dados. Como o Dropbox pode aceder aos seus ficheiros, a empresa também pode partilhar esses ficheiros com as autoridades(nova janela).
O que utilizar em vez do Dropbox
O Dropbox pode ter sido o primeiro serviço de armazenamento na nuvem, mas a forma como gere os dados dos clientes está desatualizada: não há necessidade de abdicar da encriptação do lado do cliente.
Na Proton, utilizamos encriptação ponto a ponto em todos os nossos serviços, incluindo o nosso serviço de armazenamento na nuvem Proton Drive. Com o Drive, pode carregar, sincronizar, partilhar e até pré-visualizar os seus ficheiros, com a segurança de saber que não podem ser lidos por ninguém exceto por si e por quem decidir partilhá-los — razão pela qual também lhe chamamos encriptação de zero acesso.
Com o Docs no Proton Drive, também pode desfrutar da liberdade de criar e editar documentos com outras pessoas, sabendo que o seu conteúdo está protegido por encriptação ponto a ponto por predefinição.
O nosso código é de código aberto e auditado por peritos de segurança independentes. Isto confere à nossa comunidade a confiança de que a nossa encriptação funciona da forma que afirmamos, não sendo necessário acreditar apenas na nossa palavra.
Além disso, não partilhamos os seus dados com ninguém. O nosso modelo de negócio baseia-se em subscrições para obter mais armazenamento e funcionalidades extra, e não em publicidade. Mesmo que quiséssemos partilhar os seus dados, não poderíamos fazê-lo porque não temos acesso aos mesmos. A nossa encriptação ponto a ponto aplica-se inclusivamente a metadados importantes.
Ao contrário do Dropbox, estamos sediados na Suíça, onde os seus dados estão protegidos por algumas das leis de privacidade mais fortes do mundo. Só entregaríamos os poucos dados que possuímos se tal fosse ordenado por um tribunal suíço.
A razão pela qual fazemos tudo isto é porque acreditamos que oferecer um serviço de armazenamento bom e fácil de utilizar não é suficiente — também precisamos de fazer parte da criação de uma internet melhor e mais privada. Esta tem sido a nossa missão desde o lançamento, graças ao apoio da comunidade, em 2014, e continua a sê-lo hoje. Se isto lhe parece algo de que gostaria de fazer parte, junte-se a nós e crie uma conta Proton Drive gratuita hoje mesmo.
