Dropbox — одно из самых громких имен в сфере облачного хранения, поэтому вы можете удивиться, узнав, что он не использует самые безопасные алгоритмы шифрования и не защищает вашу конфиденциальность.

Хотя Dropbox защищен от внешних атак, в прошлом он сталкивался с утечками данных. Он также не использует сквозное шифрование, и компания может получить доступ к вашим файлам в любое время. В этой статье мы объясним, что это значит и как бесплатно защитить свои файлы в облаке, не жертвуя конфиденциальностью.

Использует ли Dropbox шифрование?

На первый взгляд Dropbox предлагает надежную безопасность как при передаче данных на ваше устройство и с него, так и при их хранении на серверах. Безопасность при передаче обеспечивается протоколом TLS — стандартным, но мощным протоколом шифрования, используемым практически всеми онлайн-сервисами. Например, мы также используем его для шифрования вашего интернет-подключения, пока вы читаете эту статью.

Как только файлы попадают на серверы Dropbox, они расшифровываются при получении, а затем снова зашифровываются, на этот раз с использованием AES-256. Это надежный алгоритм шифрования, используемый правительствами, военными и корпорациями по всему миру. Мы в Proton сами используем его во всех наших сервисах.

Этот метод, при котором файлы шифруются при передаче, затем расшифровываются и снова зашифровываются при хранении, используется многими сервисами облачного хранения для защиты от киберпреступников. Проблема в том, что Dropbox игнорирует ключевую угрозу для вашей безопасности и конфиденциальности: саму компанию.

Насколько на самом деле безопасен Dropbox?

Когда речь заходит о безопасности, обычно имеются в виду внешние угрозы. Когда вы арендуете бокс для хранения, вы вешаете на него замок, чтобы никто не мог войти и украсть ваши вещи. Вы не беспокоитесь о том, что ваша старая мебель убежит сама по себе.

Однако когда дело касается данных, нужно немного побеспокоиться о том, что делают с вашей информацией люди, которым вы доверили ее хранение. Неважно, насколько хорошо сервис защищает вас от внешних атак: он не будет по-настоящему безопасным, если сотрудники компании могут получить доступ к вашим файлам.

В случае с боксом для хранения вы можете использовать собственные замки, чтобы ключи были только у вас. С цифровым хранилищем вы можете использовать метод под названием сквозное шифрование (также называемое шифрованием на стороне клиента). Это метод защиты, при котором файлы автоматически шифруются на вашем устройстве перед загрузкой на сервер. У вашего поставщика услуг хранения нет ключа к вашим данным, и файлы недоступны для людей, управляющих сервисом.

Dropbox не предлагает сквозное шифрование ни в каком виде. Как компания прямо заявляет на своем веб-сайте(новое окно), если вы хотите использовать сквозное шифрование, вам придется использовать сторонний инструмент шифрования и загружать на Dropbox уже зашифрованные файлы. Это неудобно и делает невозможными многие важные функции, такие как синхронизация файлов.

Dropbox doesn't use private keys

У Dropbox, безусловно, есть внутренние меры защиты, не позволяющие сотрудникам получать доступ к данным пользователей, но это требует большого доверия со стороны потребителей. Даже если Dropbox успешно избегает внутренних угроз, всегда существует вероятность человеческой ошибки. Одной из крупнейших утечек в истории облачных хранилищ стал взлом Dropbox в 2012 году(новое окно), когда сотрудник повторно использовал свой пароль, был взломан и поставил под угрозу пароли 68 миллионов пользователей.

Можно подумать, что сотрудник технологической компании должен знать, что пароли нельзя использовать повторно, но это показывает, что человеческая ошибка может сыграть важную роль даже в высокотехнологичных сценариях.

Проблемы конфиденциальности Dropbox

Помимо рисков безопасности, отсутствие шифрования на стороне клиента означает, что Dropbox не является конфиденциальным. Как объясняет Dropbox в своей политике конфиденциальности(новое окно), он делится вашими файлами, информацией об аккаунте, контактами и другими персональными данными с другими компаниями, такими как Google, Amazon и OpenAI. Даже если вы не против того, что ваши данные есть у Dropbox, вам может не понравиться, что Dropbox распространяет их по всему интернету.

Вдобавок к этому Dropbox — американская компания, которая обязана выполнять правительственные запросы на предоставление данных. Поскольку Dropbox может получить доступ к вашим файлам, компания также может поделиться этими файлами с властями(новое окно).

Что использовать вместо Dropbox

Dropbox, возможно, был первым сервисом облачного хранения, но то, как он обрабатывает данные клиентов, устарело: нет никакой необходимости отказываться от шифрования на стороне клиента.

В Proton мы используем сквозное шифрование для всех наших сервисов, включая облачное хранилище Proton Drive. С помощью Drive вы можете загружать, синхронизировать файлы, делиться ими и даже просматривать их в режиме предпросмотра, будучи уверенными в том, что их не сможет прочитать никто, кроме вас и тех, с кем вы решите ими поделиться — поэтому мы также называем это шифрованием с нулевым доступом.

С Документами в Proton Drive вы также можете наслаждаться свободой создания и редактирования документов вместе с другими пользователями, зная, что ваш контент защищен сквозным шифрованием по умолчанию.

Наш код является открытым и проходит аудит независимых экспертов по безопасности. Это дает нашему сообществу уверенность в том, что наше шифрование работает именно так, как мы заявляем, и вам не нужно верить нам на слово.

Кроме того, мы не делимся вашими данными ни с кем. Наша бизнес-модель основана на подписках для получения дополнительного места для хранения и функций, а не на рекламе. Даже если бы мы захотели поделиться вашими данными, мы бы не смогли этого сделать, так как у нас нет к ним доступа. Наше сквозное шифрование применяется даже к важным метаданным.

В отличие от Dropbox, мы базируемся в Швейцарии, где ваши данные защищены одними из самых строгих в мире законов о конфиденциальности. Мы передадим те немногие данные, которые у нас есть, только по распоряжению швейцарского суда.

Мы делаем все это потому, что верим: предлагать хороший и простой в использовании сервис хранения недостаточно — мы также должны участвовать в создании лучшего и более конфиденциального интернета. Это было нашей миссией с момента запуска в 2014 году благодаря поддержке сообщества, и остается ею сегодня. Если вы хотите стать частью этого, присоединяйтесь к нам и создайте бесплатный аккаунт Proton Drive сегодня.