19

Dropbox Reader pokazuje kolejne problemy z bezpieczeństwem Dropboxa

Dropbox, jedna z najpopularniejszych aplikacji do synchronizacji plików z chmurą, zdobył popularność dzięki swojej prostocie i zapewnieniu, że pliki w chmurze są bezpieczniejsze, niż na lokalnym dysku komputera. Bezpieczniejsze zarówno pod względem uchronienia przed nieodwracalnym utraceniem plików, jak również bezpieczniejsze z punktu widzenia prywatność. Okazuje się jednak, że to nie do końca prawda. Po raz […]

Dropbox, jedna z najpopularniejszych aplikacji do synchronizacji plików z chmurą, zdobył popularność dzięki swojej prostocie i zapewnieniu, że pliki w chmurze są bezpieczniejsze, niż na lokalnym dysku komputera. Bezpieczniejsze zarówno pod względem uchronienia przed nieodwracalnym utraceniem plików, jak również bezpieczniejsze z punktu widzenia prywatność. Okazuje się jednak, że to nie do końca prawda. Po raz kolejny! Dokładnie miesiąc temu Szymon pokazał w swoim wpisie, jak to naprawdę jest z prywatnością danych umieszczonych na Dropox. Okazało się, że Dropobx ukrywał działanie mechanizmu optymalizacyjnego, który do swojego działania wymaga posiadania klucza, umożliwiającego rozszyfrowanie danych użytkownika.

Jakby tego było mało, powstała specjalna, darmowa aplikacja, umożliwiająca dostęp do niektórych informacji powiązanych z kontem na Dropbox. Aplikacja nosi wiele mówiąca nazwę Dropbox Reader. Aby uzyskać dostęp do tych informacji, nie potrzebne jest żadne hasło, ani niczyja zgoda. Program to sześć skryptów napisanych w Pythonie, które pozwolą dobrać się do plików konfiguracyjnych, pamięci cache zawierającej adres e-mail użytkownika, identyfikator Dropbox, wersje programu, a także, o zgrozo, listę ostatnio zmienionych plików, oraz plików gotowych do synchronizacji. Wygląda to naprawdę nieciekawie, tym bardziej, że czasem sama nazwa pliku, po dostaniu się w niepowołane ręce, może być przyczyną sporych kłopotów. Chyba nie na tym polega prywatność plików?

Po raz kolejny okazuje się, że jedynym rozwiązaniem gwarantującym pełną prywatność, jest polityka „zero-knowledge data encryption„, polegająca na tym, że tylko zaszyfrowane dane opuszczają komputer użytkownika i tylko użytkownik posiada hasło-klucz niezbędny do ich odszyfrowania, podczas gdy firma oferująca miejsce na swoich serwerach, nie wiec nic o zawartości zaszyfrowanych kontenerów danych i nie jest w stanie ich udostępnić, nawet na prośbę policji. Tego typu usługi, wymieniał w swoim wpisie Szymon.

Trzeba tylko pamiętać, że w takim wypadku, zgubienie czy zapomnienie hasła, oznacza całkowitą i nieodwracalną utratę danych, ponieważ nie ma metody na odzyskanie hasła, jak np. przypomnienie przysyłane mailem, czy opcja zresetowania hasła i podania nowego. Taka jest cena pełnej prywatności.