Dropbox, mevcut olan ilk ana akım bulut depolama alanı hizmetiydi ve endüstri için pek çok ilke imza attı. Ne yazık ki yıllar içinde pek çok hata da yaptı; bunların en kötüsü, sektörün gördüğü en büyük olay olan 2012 Dropbox ele geçirilmesiydi. Sizin için hala doğru sağlayıcı olup olmadığına kendiniz karar verebilmeniz için bu Dropbox güvenlik sorunları zaman çizelgesini hazırladık.

Okuduktan sonra geçiş yapmaya hazırsanız, Dropbox hesabınızı silme konusundaki bu hızlı kılavuza göz atın. Ve son olarak, bir Dropbox alternatifi düşünürken, aşağıda çok daha güvenli olan Proton Drive hakkındaki bilgileri de paylaşıyoruz.

Dropbox güvenlik ihlalleri: bir zaman çizelgesi

Dropbox 2008 yılında kuruldu ve 2011’den bu yana, son zamanlarda hızı biraz yavaşlamış olsa da, neredeyse her yıl bir tür ele geçirilme olayı yaşadı. Yine de, dosyalarınız için hangi bulut depolama alanı hizmetine güveneceğinize karar verirken, geçmiş performanslarına bakmak önemlidir.

2011: Dropbox parola hatası

Dropbox’ın ilk skandalı, kurulduktan sadece üç yıl sonra, Haziran 2011’de yaşandı. Bir hata sayesinde, yaklaşık dört saatlik bir süre boyunca Dropbox sistemi verdiğiniz herhangi bir parolayı kabul etti(yeni pencere); bu da, kullanıcı adını veya e-postayı bildiği sürece herkesin herhangi bir hesaba erişim sağlayabileceği anlamına geliyordu; bu da güvenli bir kullanıcı adı kullanmak için iyi bir nedendi.

Bununla birlikte, sorunun Dropbox ekibine bildirildikten sonra düzeltilmesinin sadece beş dakika sürdüğünü belirtmek gerekir. Ancak bu dört saat boyunca her Dropbox hesabı tamamen savunmasızdı. O süre zarfında hiçbir saldırganın bu güvenlik açığını bulamamış olması tamamen şanstı.

2012: Dropbox ele geçirilmesi, 68 milyon parola açığa çıktı

Temmuz 2012’de Dropbox, bazı kullanıcı adlarının ve parolaların diğer sitelerden çalındığını ve ardından Dropbox’a erişim sağlamak için kullanıldığını bildirdi(yeni pencere) (her site için ayrı ayrı güçlü parolalar oluşturmak için iyi bir neden). Dropbox, yetkisiz erişimi zorlaştırmak için güvenlik önlemleri dağıtarak yanıt verdi.

Şu ana kadar her şey yolunda görünüyordu ancak 2016’da Dropbox’ın tüm hikayeyi anlatmadığı(yeni pencere) ortaya çıktı: 2012’de hacklenenler arasında, şirket parolasını LinkedIn’de de kullanan bir Dropbox çalışanı vardı. Bu durum saldırganlara Dropbox’ın sistemlerine erişim sağlamıştı.

Haber 2016’da, yani ilk ele geçirilme olayından dört yıl sonra patlak verdiğinde, yaklaşık 68 milyon kullanıcının bilgilerinin ödün verildiği hızla ortaya çıktı; bu durum, olayı bulut depolama alanı tarihindeki en büyük, internet tarihindeki ise en büyüklerden biri haline getirdi. Bunun da ötesinde, Dropbox gibi devasa bir şirketin, verilen hasarın tam boyutunu kabul etmesinin dört yıl sürmesi skandalı yaşandı.

2013: PRISM iddiaları

2013 yılında Edward Snowden, The Guardian gazetesine Amerika Birleşik Devletleri hükümetinin PRISM programı aracılığıyla dünyanın her yerindeki insanları gözetlediğini açıkladığında, adı geçen isimlerden biri(yeni pencere) de Dropbox idi. Snowden’a göre şirket, ABD makamlarıyla çalışma konusunda oldukça istekliydi ve kendisini “PRISM ortağı olmaya can atan(yeni pencere)” bir kuruluş olarak nitelendiriyordu.

Dropbox’ın PRISM projesine katılıp katılmadığı belirsizdir (şirket bunu her zaman reddetmiştir) ancak herhangi bir bulut depolama alanı hizmetinin muazzam bir gözetleme komplosuna katılmaya hevesli olarak tanımlanması, muhtemelen insanların duraklayıp bir düşünmesine neden olmalıdır.

2017: Dirilen veriler

Ocak 2017’de bazı Dropbox kullanıcıları çok garip bir durumla karşılaştı: Bazı durumlarda yıllar önce sildikleri dosyalar aniden Dropbox hesaplarında yeniden göründü. Bir araştırmanın ardından Dropbox, kod içine sızan ve dosya ile klasörlerin kalıcı olarak silinmesini engelleyen bir hata buldu(yeni pencere).

İlk başta zararsız görünse de, dosyaları genellikle bir sebeple siliyoruz ve muhtemelen hassas olan verilerin yok edildikten sonra bile hayalet gibi varlığını sürdürmeye devam etmiş olabileceği gerçeği çok ciddi bir sorundur. Yine, bu Dropbox gibi bir şirketten beklemeyeceğiniz bir durumdur.

2018: İzin alınmadan paylaşılan veriler

Temmuz 2018’de, ekiplerin nasıl birlikte çalışabileceğini belirlemek için binlerce kişinin iş birliği çabalarının veri noktaları olarak kullanıldığı ilginç bir Harvard çalışması(yeni pencere) yayımlandı. Çok özgün bulgular içeren sürükleyici bir çalışmaydı. Ancak kullanılan veriler Dropbox’tan gelmişti ve ilgili kişilere bu verilerin bu şekilde kullanılıp kullanılamayacağı hiç sorulmamıştı(yeni pencere).

Kullanılan veriler araştırmacılara gönderilmeden önce anonimleştirilmiş olsa da (makalenin ilk versiyonunda temizlenmemiş bir bilgi), verileriniz konusunda güvendiğiniz bir hizmetin, ister anonim olsun ister olmasın, verilerinizi sizin onayınız olmadan üçüncü taraflarla paylaşmış olması sizi yine de rahatsız etmelidir.

Bunun da ötesinde, isimler dijital dosyalardan kaldırılsa bile birinin kimliğini yeniden yapılandırmanın yolları olduğu için anonim verilerin o kadar da anonim olmadığını savunabilirsiniz.

2022: Kimlik avı girişiminin dönüşü

En son Dropbox skandalı Kasım 2022’de, bir Dropbox çalışanının kimlik doğrulama bilgilerinin bir kimlik avı girişimi sırasında bir kez daha çalınmasıyla(yeni pencere) yaşandı.

Bu sefer saldırganlar, geliştiricilerin kodlarını sakladığı bir site olan GitHub kılığına girdiler. Bu olayda hırsızlar, hem Dropbox çalışanlarına hem de müşterilere ait e-postalar ve parolalarla kaçtılar. Ayrıca saldırıyı işaretleyenin Dropbox değil, GitHub’ın kendisi olduğu da unutulmamalıdır.

Yanıt olarak Dropbox, müşteri dosyalarının hiçbir zaman tehlikede olmadığını veya Dropbox’ı oluşturan ve dolayısıyla ifşa olması halinde tüm sistemi tehdit edebilecek temel modüllerinden hiçbirinin risk altında olmadığını belirtti. Şirket için şanslı bir durum olsa da, e-postası siber suçlular tarafından kullanılan hiç kimse için bu durum teselli edici değildir.

Dropbox yerine ne kullanabilirsiniz?

Yukarıdaki zaman çizelgesinin gösterdiği gibi, Dropbox şu an yaptığından ve geçmişte yaptıklarından çok daha iyisini yapabilirdi. LastPass düzeyinde kötü olmasa da birden fazla kez başarısızlığa uğramıştır. Olayların kapsamı ve ciddiyeti genellikle Dropbox tarafından bildirilmemiş, bu da bir farkındalık veya şeffaflık eksikliğine işaret etmiştir. Ayrıca, ele geçirilme vakalarının çoğu zayıf güvenlik uygulamalarından kaynaklanmıştır.

Özellikle Dropbox’ın uçtan uca şifreleme eksikliği endişe vericidir. Bir bulut depolama alanı hizmeti dosyalarınızı uçtan uca şifreleme ile koruduğunda, bu verilerinizin buluta gitmeden önce aygıtınızda şifrelendiği anlamına gelir. Bulut sunucularının daha sonra herhangi bir şekilde ele geçirilmesi, hiçbir verinin ifşa edilmesiyle sonuçlanmaz. Bu ve daha fazla ayrıntıya Dropbox güvenliği hakkındaki makalemizde değiniyoruz.

Ana akım bulut depolama alanı sağlayıcılarının bu kusurlarını göz önünde bulundurarak, hepsi bir arada en üst düzey güvenlik ve keyifli bir kullanıcı deneyimi sunan güvenli, uçtan uca şifrelenmiş bir alternatif olan Proton Drive‘ı geliştirdik. Verilerinizi görmek istesek bile (ki istemiyoruz, çünkü iş modelimiz gizliliğinizi korumaktır) bunlara zaten erişemeyiz.

Bu gizlilik vaadi, kurulduğumuz günden beri Proton’un temelinde yer almaktadır ve destekçilerimiz sayesinde bunu dış finansmana ihtiyaç duymadan gerçekleştirebildik. Bu nedenle tek sorumluluğumuz siz topluluğumuza karşıdır.

Güvenli ve gizli bir bulut depolama alanı seçeneği kullanmak kulağa hoş geliyorsa Proton Drive’a ücretsiz katılın ve güvenli bir web deneyiminin nasıl olacağını keşfedin.