A Dropbox, queridinha entre os serviços de backup e sincronização de dados, deve explicações aos seus usuários. Por muito tempo a empresa afirmava que os dados enviados para seus servidores são completamente seguros e não existe qualquer hipótese de outra pessoa que não seja o dono do arquivo acessá-lo. No entanto, um pesquisador descobriu que as coisas não são bem aí.

Christopher Soghoian, estudante americano de doutorado, iniciou uma reclamação formal junto à Federal Trade Commission para que essa curiosa afirmação de que os dados são superprotegidos seja averiguada. De acordo com o estudante, a prática comercial (e publicitária) da Dropbox merece ir a escrutínio público.

Dropbox utiliza aquilo que nós chamamos de hash para analisar o conteúdo dos arquivos enviados pelos usuários. Caso ele seja igual ao de outro arquivo que já existe nos servidores da companhia, a Dropbox não faz o novo upload, mas ainda assim adiciona o arquivo à lista de documentos do usuário. É como se, ao tentar enviar o alice-no-pais-das-maravilhas.pdf (nome fictício, ok?), o servidor detectasse que já existe um arquivo com o mesmo hash e evitasse a duplicidade de documentos iguais.

Para o estudante, funcionários da Dropbox poderiam muito bem visualizar o conteúdo dos arquivos. Cabe lembrar que a empresa é a única detentora das chaves para criptografar e depois reverter o processo de criptografia dos documentos.

Em tese, de nada adianta que os servidores passem por encriptação AES 256 (considerada a mais poderosa do mercado com uso em larga escala) se os arquivos podem ser visualizados.

Depois de a denúncia ser feita, a Dropbox mudou a forma como informa seus usuários sobre os aspectos de segurança do serviço. Na página sobre o assunto, o trecho que diz que os arquivos “são inacessíveis sem a senha da sua conta” foi completamente removido do texto.

Um dos receios é de que a Dropbox inadvertidamente entregue arquivos que supostamente estaria sob criptografia, principalmente devido a ordens judiciais. A própria empresa diz, ainda em sua página sobre segurança, que um número limitado de funcionários pode acessar os dados dos usuários, desde que em situações previstas na politica de privacidade, o que inclui decisões legais.

Alguns concorrentes do serviço também dizem que oferecem segurança total para os dados armazenados. A diferença fica por conta do processo de criptografia, visto que as chaves desse processo ficam armazenadas na máquina do usuário. Na Dropbox é diferente, o que complica a situação da empresa frente à FTC.

Com informações: Wired.com.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

rodrigo silva
kkkk
Carlos Antônio
MENTIRA. o que ocorre simplesmente é uma comparação via HASH... Tipo ... é uma CHAVE CRIPTOGRAFADA do que tem o seu arquivo, que é COMPARADA, e isto NÃO É UM FUNCIONÁRIO que vê, logicamente, mas um PROGRAMA de COMPUTADOR. Imagine, tem BILHÕES de arquivos rodando no dropbox, imagine colocar um SER HUMANO para comparar arquivos eletrônicos. Convenhamos, nunca vi um TÓPICO TÉCNICO mais bobo que este... CARLOS A.F. da SILVA. Analisa de Sistemas
renascienza
Como uma pequena correção: AES256 (Advanced Encryption Standard, 256 bits de chave) está muito longe mesmo de ser o algoritmo simétrico mais seguro disponível. Ele é apenas declarado (pela NSA norte-americana) como o padrão de criptografia comercial dentro dos EUA, enquanto a entidade *gostaria* que o padrão usado fora do país fosse o AES128. O real nome do AES é Rijndael, o finalista de um concurso para definir quem substituiria o DES (Data Encryption Standard) após ele ter sido quebrado publicamente. Na época, ele ganhou uma liderança apertada em relação ao Serpent por ser ligeiramente mais rápido. Ele é confiável? Eu diria que nem tanto. A NSA literalmente se debruça sobre o algoritmo padronizado em busca de vulnerabilidades e pode mesmo inserir propositalmente fraquezas em implementações comerciais. Em resumo: vc não deveria usar AES e supor que está a salvo dos olhos curiosos do governo norte-americano (que, lembrando, é $ustentado por lobbistas). Na minha opinião, o algoritmo simétrico mais seguro hoje é o Threefish 1024, de autoria de um dos líderes da EFF, tanto porque sua estrutura não é semelhante ao padrão usado nos outros algoritmos atuais (ou seja, não usa S-boxes) quanto pelo tamanho gigantesco de sua chave. Eu estou prestes a lançar alguns artigos e orientações a respeito do assunto em nosso blog. Quem se interessa pelo assunto e quer saber mais, pode ficar de olho em http://renascienza.wix.com/pt-br#!blog/cw40 nos próximos dias. Sim, com a alteração das políticas do Dropbox vigentes a partir de Março desse ano, o Ubuntu One ficou muito atraente.
@lealcy
Basta que além do hash, ele leve em consideração também um pedaço do começo do arquivo.
@lealcy
Conhece o TrueCrypt?
Gustavo
Amigo, funciona via wine. Esses aqui possuem versão pra linux : https://spideroak.com/ http://www.wuala.com/ (da famosa Lacie)
Gustavo
Amigo, ja testei o sugarsync via wine no ubuntu 10.04. Funcionou tranquilamente.
Silvano
E quem disse que o Google não faz hash dos arquivos que ela armazena? Com aprox. 7GB de espaço free para cada usuário acho meio impossível ela guardar cópias distintas do mesmo arquivo. Ledo engano seu, meu amigo.
Marcell Almeida
EXATAMENTE! Ia citar a Sony como exemplo, mas quis evitar a fadiga :P
Marcos Malfredyne
La vou eu mudando para o Ubuntu One...
@AntonioVeras
Sim, é isso mesmo. E nesse processo o pessoal vê o que há nos seus arquivos sem sua permissão.
@AntonioVeras
A Sony que o diga.
7megas
SecretSyn e SpiderOak guardo musica pra cacete lá =)
Sergio
O que eu quiz dizer é que se você fizer o upload de um arquivo importante que por coincidência tem o mesmo hash que outro arquivo contento dados inúteis, você perderá seu arquivo de acordo com a descrição do serviço. Não quiz dizer que alguém vai descobrir o hash para invadir, mas se der conflito de hashs voc? pode acabar com um arquivo que não é seu.
Dênis
Galera, O hash de um arquivo é feito de acordo com seu conteúdo, se alguém for capaz de criar um arquivo com o mesmo hash que o seu, é porque ele conseguiu adicionar o mesmo conteúdo! Se ele conseguiu criar um arquivo com o mesmo conteúdo que o seu, os dados ele já tem ? Porque ele vai querer fazer download do seu ?! É questão de lógica! Abs.
Exibir mais comentários