domingo, 15 de mayo de 2011

Piden investigar a Dropbox por mentir en su cláusula de seguridad

Dropbox se ha visto obligada a rectificar sus cláusulas de seguridad, al demostrarse que no protege adecuadamente los ficheros de los usuarios, o al menos, no como anunciaba inicialmente la empresa en su web.

Dropbox es un servicio online de hospedaje de ficheros "en la nube" ampliamente utilizado (25 millones de usuarios), que gracias al análisis previo del hash permite ahorrar espacio: si se intenta subir un fichero cuyo hash ya esté presente en Dropbox (en la cuenta de otro usuario por ejemplo), el sistema simplemente enlaza con él sin tener que subirlo de nuevo. La seguridad de Dropbox se basa en el cifrado AES256 con clave creada y albergada en sus propios servidores.

Según se deriva de la queja formal alzada a la Comisión Federal de Comercio (FTC) de los EEUU por parte del investigador Christopher Soghoian, Dropbox mintió a los usuarios cuando anunciaba su servicio como totalmente cifrado y, según anunciaban, "sin acceso interno de la empresa al contenido de los mismos".

A medida que se hacía pública la información Dropbox ha ido modificando las cláusulas de información sobre el cifrado:

En un principio, se anunciaba: "All files stored on Dropbox servers are encrypted (AES256) and are inaccessible without your account password." (Todos los ficheros almacenados en los servidores Dropbox están cifrados con AES256 y son inaccesibles sin la contraseña de la cuenta).

Luego, en abril fue modificado a un simple: "All files stored on Dropbox servers are encrypted (AES 256)." (Todos los ficheros almacenados en los servidores de Dropbox están cifrados con AES256).

Más tarde: "Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents)". (Los empleados de Dropbox no tienen acceso a los ficheros de usuarios, y cuando se estudian las cuentas, solo tiene acceso a metadatos y no al contenido de ficheros).

Ahora, la web dice: "Dropbox employees are prohibited from viewing the content of files you store in your Dropboxaccount, and are only permitted to view file metadata (e.g., file names and locations)". (Los empleados 'tienen prohibido' acceder al contenido de los ficheros y sólo pueden inspeccionar a los metadatos de sus cuentas (nombres y rutas de ficheros).

Y advierten además que: Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so). ("Como la mayoría de servicios online, contamos con un pequeño número de empleados que tienen acceso total a los datos del usuario por razones establecida en nuestra política de seguridad (por ejemplo cuando sean legalmente requerido))".

En la investigación también se advierte que su servicio Mobile no utiliza un canal SSL a la hora de enviar los archivos al contrario de lo que se pudiera entender por la publicidad de Dropbox.

Estas rectificaciones de Dropbox han motivado el intento de Soghoian para que la FTC investigue a la empresa por su dudosa política de seguridad y que consiga que advierta correctamente al usuario del verdadero nivel de la misma.

Hasta que se aclare el asunto, la única solución posible para asegurar totalmente los datos es cifrarlos localmente a la hora de subirlos a Dropbox o utilizar directamente servicios alternativos como SpiderOak o Wuala.


José Mesa Orihuela
jmesa@hispasec.com


Más información:

Dropbox Lied to Users About Data Security, Complaint to FTC Alleges
http://www.wired.com/threatlevel/2011/05/dropbox-ftc/

Petición de investigación a la FTC PDF:
http://files.cloudprivacy.net/dropbox%20ftc%20complaint%20-%20final.pdf

No hay comentarios:

Publicar un comentario en la entrada