En tidslinje över Dropbox säkerhetsproblem

Dropbox var den första stora tjänsten för molnlagring som blev tillgänglig och har banat väg för branschen. Tyvärr har de också gjort många snedsteg under åren, varav det värsta var Dropbox-intrånget 2012, det största branschen har sett. Vi har sammanställt den här tidslinjen över Dropbox säkerhetsproblem så att du själv kan avgöra om det här fortfarande är rätt leverantör för dig.

Om du efter att ha läst detta är redo att ta steget, kolla in den här snabbguiden för att ta bort ditt Dropbox-konto. Slutligen, när du överväger ett alternativ till Dropbox, delar vi också information nedan om Proton Drive, som är mycket säkrare.

• Dropbox-intrång: en tidslinje
  • 2011
  • 2012
  • 2013
  • 2017
  • 2018
  • 2022
• Vad kan du använda istället för Dropbox?

Dropbox-intrång: en tidslinje

Dropbox startades 2008 och har från 2011 upplevt någon form av intrång nästan varje år sedan dess, även om takten har saktat ner något på senare tid. Men när du bestämmer dig för vilken molnlagringstjänst du ska anförtro dina filer, är det viktigt att titta på deras historik.

2011: Dropbox lösenordsbugg

Dropbox första skandal kom i juni 2011, bara tre år efter att det grundades. Tack vare ett fel i systemet kunde Dropbox under en period på cirka fyra timmar acceptera vilket lösenord som helst(nytt fönster) som du angav, vilket innebar att vem som helst kunde få åtkomst till vilket konto som helst så länge de kände till användarnamnet eller e-posten — ett bra skäl för att använda ett säkert användarnamn.

Med det sagt bör det noteras att det bara tog Dropbox-teamet fem minuter att faktiskt åtgärda problemet när de väl blivit informerade om det. Men under dessa fyra timmar var varje Dropbox-konto vidöppet. Det var ren tur att inga angripare upptäckte sårbarheten under den tidsperioden.

2012: Dropbox-intrång, 68 miljoner lösenord avslöjade

I juli 2012 rapporterade(nytt fönster) Dropbox att vissa användarnamn och lösenord stulits från andra webbplatser och sedan använts för att få åtkomst till Dropbox (en bra anledning att skapa starka lösenord för varje webbplats separat). Dropbox svarade genom att distribuera säkerhetsåtgärder för att göra obehörig åtkomst svårare.

Hittills har det gått bra, men 2016 kom det fram att Dropbox inte hade berättat hela historien(nytt fönster): Bland dem som hackades 2012 fanns en Dropbox-anställd som även hade använt sitt företagslösenord på LinkedIn. Detta gav angriparna åtkomst till Dropbox system.

När historien kom ut 2016 – fyra år efter det första intrånget – stod det snart klart att omkring 68 miljoner användare hade avslöjats, vilket gjorde det till det största hacket i historien för lagringsutrymme i molnet, och ett av de större i internethistorien, punkt. Utöver det fanns skandalen med Dropbox, ett enormt företag, som tog fyra år på sig att erkänna den fulla omfattningen av den skada som orsakats.

2013: PRISM-anklagelser

När Edward Snowden år 2013 avslöjade för tidningen The Guardian att USA:s regering spionerade på människor över hela världen genom PRISM-programmet, var ett av namnen(nytt fönster) som dök upp Dropbox. Enligt Snowden var företaget ivrigt att arbeta med de amerikanska myndigheterna och kallade det en ”wannabe PRISM-partner(nytt fönster)”.

Det är oklart om Dropbox någonsin gick med i PRISM-projektet – företaget har alltid nekat till att ha gjort det – men det borde förmodligen få folk att stanna upp och ta en paus att en molntjänst för lagringsutrymme skulle beskrivas som entusiastisk att gå med i en massiv övervakningskonspiration.

2017: Återuppstått data

I januari 2017 stötte vissa Dropbox-användare på något mycket märkligt: filer som de hade tagit bort, i vissa fall för flera år sedan, dök plötsligt upp igen på deras Dropbox-konton. Efter viss efterforskning hittade Dropbox ett fel(nytt fönster) som hade smugit sig in i koden och som förhindrade att filer och mappar togs bort permanent.

Även om det kan verka harmlöst vid första anblicken tar du ofta bort filer av en anledning, och det faktum att känslig data kan ha levt vidare som en spöklik existens även efter att ha raderats är ett mycket allvarligt problem. Återigen, inget du förväntar dig av ett företag som Dropbox.

2018: Data som delats utan samtycke

I juli 2018 publicerades en intressant Harvard-studie(nytt fönster) där tusentals människors samarbetsinsatser användes som datapunkter för att avgöra hur team kan arbeta tillsammans. Spännande material som kom fram till några mycket originella resultat. De data som användes var dock data från Dropbox, och personerna som var inblandade blev aldrig tillfrågade(nytt fönster) om de fick användas på det här sättet.

Även om de data som användes anonymiserades innan de skickades till forskarna (något som inte klargjordes i den första versionen av artikeln), bör det ändå göra dig obekväm att en tjänst som du betrott med dina data delade dem med tredje part utan ditt medgivande, oavsett om de var anonymiserade eller ej.

Dessutom kan du hävda att anonym data inte är så anonym eftersom det finns sätt att rekonstruera någons identitet även när namn tas bort från digitala dossierer.

2022: Nätfiskeattackens återkomst

Den senaste Dropbox-skandalen var i november 2022, när en Dropbox-anställds inloggningsuppgifter återigen stals(nytt fönster) under en nätfiskeattack.

Den här gången utgav sig angriparna för att vara GitHub, en webbplats där utvecklare lagrar sin kod. I det här fallet kom tjuvarna över e-postadresser och lösenord som tillhörde både Dropbox-anställda och kunder. Det bör också noteras att det var GitHub själva som flaggade attacken, inte Dropbox.

Som svar uppgav Dropbox att kunders filer aldrig var i fara, och inte heller några av dess kärnmoduler, de delar som utgör Dropbox och som därför skulle kunna hota hela systemet om de exponerades. Tur för dem, men det är en klen tröst för alla vars e-post användes av nätbrottslingar.

Vad kan du använda istället för Dropbox?

Som tidslinjen ovan visar skulle Dropbox kunna göra mycket bättre ifrån sig än vad de gör – och har gjort. Även om det inte är på samma dåliga nivå som LastPass, har de misslyckats vid mer än ett tillfälle. Ofta rapporterades inte händelsernas omfattning och allvar av Dropbox, vilket tyder på bristande medvetenhet eller transparens. Och oftast orsakades intrången av dåliga säkerhetsrutiner.

I synnerhet är Dropbox brist på end-to-end-kryptering oroande. När en molntjänst för lagringsutrymme skyddar dina filer med end-to-end-kryptering innebär det att dina data krypteras på din enhet innan de skickas till molnet. Eventuella efterföljande intrång i molnservrarna skulle inte leda till att några data exponeras. Vi går in på fler detaljer om detta och mer i vår artikel om säkerheten hos Dropbox.

Det är med dessa brister hos vanliga leverantörer av molnlagring i åtanke som vi utvecklade Proton Drive, ett säkert, end-to-end-krypterat alternativ som erbjuder förstklassig säkerhet och en trevlig användarupplevelse i ett. Även om vi ville se dina data – vilket vi inte vill, eftersom vår affärsmodell går ut på att skydda din integritet – kan vi helt enkelt inte få åtkomst till dem ändå.

Detta löfte om integritet har stått i centrum för Proton sedan vi grundades, och tack vare våra supportrar har vi kunnat göra det utan behov av extern finansiering. Så vår enda skyldighet är gentemot dig, vår gemenskap.

Om det låter bra att använda ett säkert och privat alternativ för lagringsutrymme i molnet kan du skaffa Proton Drive gratis och få ett smakprov på hur en privat webb kan se ut.