Dropbox был первым доступным массовым сервисом облачного хранения и проложил много путей для всей индустрии. К сожалению, за эти годы он также совершил немало ошибок, худшей из которых стала утечка данных из Dropbox в 2012 году — крупнейшая в отрасли. Мы составили этот хронологический список проблем с безопасностью Dropbox, чтобы вы могли сами решить, подходит ли вам этот провайдер.

Если после прочтения вы готовы сменить платформу, ознакомьтесь с этим кратким руководством по удалению вашего аккаунта Dropbox. И, наконец, пока вы рассматриваете альтернативу Dropbox, ниже мы поделимся информацией о Proton Drive, который гораздо более безопасен.

Утечки безопасности Dropbox: хронология

Dropbox был запущен в 2008 году, и начиная с 2011 года почти каждый год происходила какая-либо утечка, хотя в последнее время темпы несколько замедлились. Тем не менее, выбирая сервис облачного хранения, которому вы доверите свои файлы, важно изучить его репутацию.

2011: баг с паролями в Dropbox

Первый скандал с Dropbox произошел в июне 2011 года, всего через три года после основания компании. Из-за ошибки в течение примерно четырех часов система Dropbox принимала любой пароль(новое окно), который вы вводили. Это означало, что любой мог получить доступ к любому аккаунту, если знал имя пользователя или электронную почту — хороший повод использовать безопасное имя пользователя.

При этом стоит отметить, что само исправление проблемы заняло у команды Dropbox всего пять минут после получения уведомления. Однако в течение этих четырех часов каждый аккаунт Dropbox был широко открыт. Лишь по чистой случайности злоумышленники не обнаружили эту уязвимость за этот промежуток времени.

2012: утечка в Dropbox, раскрыты пароли 68 миллионов пользователей

В июле 2012 года Dropbox сообщил(новое окно), что некоторые имена пользователей и пароли были украдены с других сайтов и затем использованы для доступа к Dropbox (хороший повод создавать надежные пароли для каждого сайта в отдельности). Dropbox отреагировал применением мер безопасности, чтобы затруднить несанкционированный доступ.

Все шло неплохо, но в 2016 году выяснилось, что Dropbox рассказал не всю историю(новое окно): среди взломанных в 2012 году был сотрудник Dropbox, который также использовал свой корпоративный пароль в LinkedIn. Это дало злоумышленникам доступ к системам Dropbox.

Когда в 2016 году эта история получила огласку — спустя четыре года после первоначальной утечки — быстро выяснилось, что данные около 68 миллионов пользователей были раскрыты. Это стало крупнейшим взломом в истории облачного хранения и одним из самых масштабных в истории интернета в целом. Ко всему прочему, разразился скандал из-за того, что Dropbox, такой крупной компании, потребовалось четыре года, чтобы признать полный масштаб нанесенного ущерба.

2013 год: обвинения, связанные с PRISM

Когда в 2013 году Эдвард Сноуден сообщил газете The Guardian, что правительство США шпионит за людьми по всему миру через программу PRISM, одним из названных имен(новое окно) был Dropbox. По словам Сноудена, компания охотно сотрудничала с властями США, и он назвал ее «потенциальным партнером PRISM(новое окно)».

Неясно, присоединялся ли когда-либо Dropbox к проекту PRISM — компания всегда это отрицала, — но людей должен насторожить тот факт, что любой сервис облачного хранения описывается как энтузиаст участия в массовом заговоре с целью слежки.

2017 год: «воскресшие» данные

В январе 2017 года некоторые пользователи Dropbox столкнулись с чем-то очень странным: файлы, которые они удалили (в ряде случаев — несколько лет назад), внезапно снова появились в их аккаунтах Dropbox. Проведя расследование, в Dropbox обнаружили, что в код закралась ошибка(новое окно), которая мешала окончательно удалить файлы и папки.

Хотя на первый взгляд это может показаться безобидным, мы часто удаляем файлы по определенной причине, и тот факт, что конфиденциальные данные могли продолжать свое призрачное существование на сервере даже после уничтожения, является серьезной проблемой. Опять же, это не то, чего вы ожидаете от такой компании, как Dropbox.

2018 год: данные переданы без согласия

В июле 2018 года было опубликовано интересное исследование Гарварда(новое окно), в котором совместная работа тысяч людей использовалась в качестве данных для определения того, как команды могут эффективно взаимодействовать. Захватывающий материал с весьма оригинальными выводами. Однако использованные данные были получены от Dropbox, и участников никто не спрашивал(новое окно), можно ли их использовать таким образом.

Хотя данные были анонимизированы перед отправкой исследователям (что не было четко указано в первой версии статьи), вас все равно должно беспокоить то, что сервис, которому вы доверили свою информацию, поделился ею с третьими лицами без вашего согласия, независимо от анонимизации.

Кроме того, можно поспорить, что анонимные данные не так уж анонимны, поскольку существуют способы восстановить личные данные человека, даже если имена удалены из цифровых досье.

2022 год: возвращение фишинговых атак

Самый недавний скандал с Dropbox произошел в ноябре 2022 года, когда в очередной раз учетные данные сотрудника Dropbox были украдены(новое окно) во время фишинг-атаки.

На этот раз злоумышленники выдавали себя за GitHub — сайт, где разработчики хранят свой код. В данном случае воры завладели электронными письмами и паролями, принадлежащими как сотрудникам Dropbox, так и клиентам. Также следует отметить, что атаку зафиксировал сам GitHub, а не Dropbox.

В ответ Dropbox заявил, что файлы клиентов никогда не подвергались опасности, как и основные модули системы. Повезло, но это слабое утешение для тех, чьи электронные письма использовали киберпреступники.

Что можно использовать вместо Dropbox?

Как показывает приведенная выше хронология, Dropbox мог бы работать гораздо лучше. Хотя ситуация и не достигла уровня LastPass, компания не раз допускала серьезные ошибки. Часто Dropbox не сообщал о масштабах и серьезности инцидентов, что говорит о недостатке прозрачности. И чаще всего утечки были вызваны плохими методами обеспечения безопасности.

В частности, отсутствие в Dropbox сквозного шифрования вызывает беспокойство. Когда сервис облачного хранения защищает ваши файлы с помощью сквозного шифрования, это означает, что ваши данные зашифровываются на вашем устройстве перед отправкой в облако. Любая последующая утечка с облачных серверов не приведет к раскрытию данных. Мы подробнее рассказываем об этом и многом другом в нашей статье о безопасности Dropbox.

Именно помня об этих недостатках популярных провайдеров облачного хранения, мы разработали Proton Drive — безопасную альтернативу со сквозным шифрованием, которая предлагает первоклассную безопасность и приятный пользовательский интерфейс в одном флаконе. Даже если бы мы захотели увидеть ваши данные — а мы этого не хотим, потому что наша бизнес-модель заключается в защите вашей конфиденциальности — мы просто не сможем получить к ним доступ в любом случае.

Обещание конфиденциальности лежит в основе Proton с момента основания, и благодаря поддержке нашего сообщества мы можем работать без внешнего финансирования. Поэтому наше единственное обязательство — перед вами, нашими пользователями.

Если вам подходит вариант безопасного и конфиденциального облачного хранения, присоединяйтесь к Proton Drive бесплатно и узнайте, какой может быть конфиденциальная Сеть.