A Dropbox, queridinha entre os serviços de backup e sincronização de dados, deve explicações aos seus usuários. Por muito tempo a empresa afirmava que os dados enviados para seus servidores são completamente seguros e não existe qualquer hipótese de outra pessoa que não seja o dono do arquivo acessá-lo. No entanto, um pesquisador descobriu que as coisas não são bem aí.

Christopher Soghoian, estudante americano de doutorado, iniciou uma reclamação formal junto à Federal Trade Commission para que essa curiosa afirmação de que os dados são superprotegidos seja averiguada. De acordo com o estudante, a prática comercial (e publicitária) da Dropbox merece ir a escrutínio público.

Dropbox utiliza aquilo que nós chamamos de hash para analisar o conteúdo dos arquivos enviados pelos usuários. Caso ele seja igual ao de outro arquivo que já existe nos servidores da companhia, a Dropbox não faz o novo upload, mas ainda assim adiciona o arquivo à lista de documentos do usuário. É como se, ao tentar enviar o alice-no-pais-das-maravilhas.pdf (nome fictício, ok?), o servidor detectasse que já existe um arquivo com o mesmo hash e evitasse a duplicidade de documentos iguais.

Para o estudante, funcionários da Dropbox poderiam muito bem visualizar o conteúdo dos arquivos. Cabe lembrar que a empresa é a única detentora das chaves para criptografar e depois reverter o processo de criptografia dos documentos.

Em tese, de nada adianta que os servidores passem por encriptação AES 256 (considerada a mais poderosa do mercado com uso em larga escala) se os arquivos podem ser visualizados.

Depois de a denúncia ser feita, a Dropbox mudou a forma como informa seus usuários sobre os aspectos de segurança do serviço. Na página sobre o assunto, o trecho que diz que os arquivos “são inacessíveis sem a senha da sua conta” foi completamente removido do texto.

Um dos receios é de que a Dropbox inadvertidamente entregue arquivos que supostamente estaria sob criptografia, principalmente devido a ordens judiciais. A própria empresa diz, ainda em sua página sobre segurança, que um número limitado de funcionários pode acessar os dados dos usuários, desde que em situações previstas na politica de privacidade, o que inclui decisões legais.

Alguns concorrentes do serviço também dizem que oferecem segurança total para os dados armazenados. A diferença fica por conta do processo de criptografia, visto que as chaves desse processo ficam armazenadas na máquina do usuário. Na Dropbox é diferente, o que complica a situação da empresa frente à FTC.

Com informações: Wired.com.

Leia | O que é criptografia e quais os tipos?

Relacionados

Escrito por

Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Thássius é editor do Tecnoblog e também atua como comentarista da CBN, palestrante e apresentador de eventos. Já colaborou com o Jornal Nacional e a GloboNews, entre outros veículos. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se. Pode ser encontrado como @thassius nas redes sociais.