Dropbox è stato il primo servizio di archiviazione cloud mainstream disponibile e ha aperto molte strade per l’industria. Purtroppo, ha anche commesso molti errori nel corso degli anni, il peggiore dei quali è stato il furto di dati di Dropbox del 2012, il più grande che l’industria abbia mai visto. Abbiamo messo insieme questa cronologia dei problemi di sicurezza di Dropbox così puoi decidere da solo se questo è ancora il fornitore per te.
Se dopo aver letto sei pronto a fare il salto, dai un’occhiata a questa guida rapida per eliminare il tuo account Dropbox. E infine, mentre consideri un’alternativa a Dropbox, condividiamo anche informazioni qui sotto su Proton Drive, che è molto più sicuro.
Violazioni della sicurezza di Dropbox: una cronologia
Dropbox è stato lanciato nel 2008 e dal 2011 ha subito qualche tipo di violazione quasi ogni anno da allora, anche se ultimamente il ritmo è leggermente rallentato. Tuttavia, quando si decide quale servizio di archiviazione cloud affidare ai propri file, è importante guardare al loro trascorso.
2011: Bug della password di Dropbox
Il primo scandalo di Dropbox è avvenuto nel giugno 2011, solo tre anni dopo la sua fondazione. A causa di un bug, per un periodo di circa quattro ore il sistema di Dropbox accettava qualsiasi password(new window) venisse fornita, il che significava che chiunque poteva accedere a qualsiasi account a patto di conoscere il nome utente o l’email — un buon motivo per utilizzare un nome utente sicuro.
Va detto, però, che risolvere il problema ha preso al team di Dropbox solo cinque minuti una volta che ne sono stati informati. Tuttavia, durante quelle quattro ore ogni account Dropbox era completamente esposto. È stata pura fortuna che nessun attaccante abbia scoperto la vulnerabilità in quel lasso di tempo.
2012: Violazione di Dropbox, compromessi 78 milioni di password
Nel luglio 2012, Dropbox ha segnalato(new window) che alcuni nomi utente e password erano stati rubati da altri siti e poi utilizzati per accedere a Dropbox (un buon motivo per creare password forti per ogni sito separatamente). Dropbox ha risposto implementando misure di sicurezza per rendere più difficile l’accesso non autorizzato.
Fin qui tutto bene, ma nel 2016 è emerso che Dropbox non aveva raccontato tutta la storia(new window): tra coloro che erano stati hackerati nel 2012 c’era anche un dipendente di Dropbox che aveva usato la sua password aziendale anche su LinkedIn. Questo ha dato agli aggressori l’accesso ai sistemi di Dropbox.
Una volta che la storia è venuta alla luce nel 2016 — quattro anni dopo la violazione iniziale — è emerso rapidamente che circa 68 milioni di utenti erano stati compromessi, rendendolo il più grande hack nella storia dell’archiviazione cloud, e uno dei più grandi nella storia di Internet, punto e basta. Inoltre c’era lo scandalo di Dropbox, un’azienda enorme, che ha impiegato quattro anni per riconoscere l’intera portata del danno subito.
2013: Accuse PRISM
Quando nel 2013 Edward Snowden ha rivelato al giornale The Guardian che il governo degli Stati Uniti spiava persone in tutto il mondo attraverso il programma PRISM, uno dei nomi(new window) che è emerso è stato Dropbox. Secondo Snowden, l’azienda era ansiosa di collaborare con le autorità statunitensi, definendola un “partner PRISM in erba(new window)”.
Non è chiaro se Dropbox abbia mai aderito al progetto PRISM — la società ha sempre negato di averlo fatto — ma dovrebbe far riflettere il fatto che un servizio di cloud storage possa essere descritto come entusiasta di unirsi a una vasta cospirazione di sorveglianza.
2017: Dati resuscitati
Nel gennaio 2017, alcuni utenti di Dropbox si sono imbattuti in qualcosa di molto strano: file che avevano cancellato, in alcuni casi anni prima, erano improvvisamente riapparsi nei loro account Dropbox. Dopo alcune ricerche, Dropbox scoprì un bug(new window) nel codice che impediva l’eliminazione definitiva di file e cartelle.
Anche se può sembrare innocuo all’inizio, spesso cancelliamo file per un motivo e il fatto che dati potenzialmente sensibili possano aver continuato a vivere un’esistenza fantasma anche dopo essere stati distrutti è un problema molto serio. Ancora una volta, non è qualcosa che ti aspetteresti da un’azienda come Dropbox.
2018: Dati condivisi senza consenso
Nel luglio 2018, è stato pubblicato un interessante studio di Harvard(new window) in cui gli sforzi collaborativi di migliaia di persone sono stati utilizzati come punti dati per determinare come i team possono lavorare insieme. Risultati avvincenti che hanno portato ad alcune scoperte molto originali. I dati utilizzati, però, erano dati di Dropbox, e alle persone coinvolte non è mai stato chiesto(new window) se potevano essere utilizzati in questo modo.
Sebbene i dati utilizzati fossero stati anonimizzati prima di essere inviati ai ricercatori (dettaglio che non era stato chiarito nella prima versione dell’articolo), dovrebbe comunque preoccuparti il fatto che un servizio in cui avevi fiducia per i tuoi dati li abbia condivisi con terze parti senza il tuo consenso, anonimizzati o meno.
Inoltre, si potrebbe sostenere che i dati anonimi non siano poi così anonimi, visto che esistono modi per ricostruire l’identità di qualcuno anche quando i nomi vengono rimossi dai dossier digitali.
2022: Il ritorno dell’attacco phishing
Lo scandalo Dropbox più recente è stato nel novembre 2022, quando ancora una volta le credenziali di un dipendente Dropbox sono state rubate(new window) durante un attacco phishing.
Questa volta, gli aggressori si sono spacciati per GitHub, un sito dove gli sviluppatori archiviano il loro codice. In questo caso, i ladri hanno portato via email e password appartenenti sia ai dipendenti di Dropbox che ai clienti. Va anche notato che è stato GitHub stesso a segnalare l’attacco, non Dropbox.
In risposta, Dropbox ha dichiarato che in nessun momento i file dei clienti sono stati in pericolo, né alcuno dei suoi moduli principali, le parti che costituiscono Dropbox e che potrebbero minacciare l’intero sistema se esposti. Fortunati loro, ma è un magro conforto per chiunque abbia avuto la propria email utilizzata dai cybercriminali.
Cosa puoi usare al posto di Dropbox?
Come dimostra la cronologia sopra, Dropbox potrebbe fare molto meglio di quanto non abbia fatto — e di quanto abbia fatto. Anche se non è ai livelli di LastPass, ha perso l’occasione più di una volta. Spesso l’entità e la gravità degli incidenti non sono state riportate da Dropbox, suggerendo una mancanza di consapevolezza o trasparenza. E più spesso di no, le violazioni sono state causate da pratiche di sicurezza scadenti.
In particolare, la mancanza di crittografia end-to-end di Dropbox è preoccupante. Quando un servizio di cloud storage protegge i tuoi file con crittografia end-to-end, significa che i tuoi dati vengono crittografati sul tuo dispositivo prima di andare nel cloud. Qualsiasi successiva violazione dei server cloud non comporterebbe l’esposizione di alcun dato. Approfondiamo questi e altri aspetti nel nostro articolo sulla sicurezza di Dropbox.
Con queste lacune dei principali fornitori di cloud storage in mente, abbiamo sviluppato Proton Drive, un’alternativa sicura e crittografata end-to-end che offre una sicurezza di alto livello e un’esperienza utente piacevole, tutto in uno. Anche se volessimo vedere i tuoi dati — e non lo vogliamo, perché il nostro modello di business è proteggere la tua privacy — non potremmo comunque accedervi.
Questa promessa di riservatezza è stata al centro di Proton fin dalla nostra fondazione e grazie ai nostri sostenitori, siamo riusciti a farlo senza bisogno di finanziamenti esterni. Quindi il nostro unico obbligo è nei tuoi confronti, la nostra comunità.
Se l’idea di usare un’opzione di archiviazione cloud sicura e privata ti sembra allettante, unisciti gratuitamente a Proton Drive e scopri come sarebbe un web privato.
