27 апреля 2011

DropBox предоставит расшифрованные копии ваших файлов правительству по запросу

Информационная безопасность
Мы все знаем, как Dropbox заявляет о своей безопасности:

  • All transmission of file data occurs over an encrypted channel (SSL).
  • All files stored on Dropbox servers are encrypted (AES-256)
  • Dropbox employees aren't able to access user files, and when troubleshooting an account they only have access to file metadata (filenames, file sizes, etc., not the file contents)



Однако, гарантирует ли это на самом деле безопасность наших данных?



Недавно в лицензионное соглашение Dropbox был внесен следующий пункт:

Compliance with Laws and Law Enforcement Requests; Protection of Dropbox’s Rights. We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement.


Иными словами, по запросу правительства Соединенных Штатов Америки, Dropbox предоставит им расшифрованные копии ваших данных. Вот так просто. Расшифруют самостоятельно и предоставят. А как же SSL, AES-256 и прочая защита, спросите вы?

Недавно представитель Dropbox также разъяснил что конкретно означает «Dropbox employees aren't able to access user files» (сотрудники Dropbox не имеют доступа к файлам пользователей"). Оказывается это всего лишь означает, что:

The contents of a file will never be accessed by a Dropbox employee without the user's permission. We can see, however, why people may have misinterpreted «Dropbox employees aren't able to access user files» as a statement about how Dropbox uses encryption, so we will change this article to use the clearer «Dropbox employees are prohibited from accessing user files.»


То есть, работникам Dropbox просто запрещено получать доступ к файлам пользователей. А вовсе даже это не невозможно.

В целом, если вы пользуетесь Dropbox на самом деле ваши файлы защищены только в в пути от вас до серверов Dropbox (правда, насколько хорошо — неизвестно).

Вот так. Никакой катастрофы, конечно. Все это было ожидаемо. Но все же… неприятно.
Теги:dropboxбезопасностькриптография
Хабы: Информационная безопасность
+43
6,3k 11
Комментарии 123
Похожие публикации
Лучшие публикации за сутки