imageDropbox er en kjent og kjær tjeneste for mange da de løser et viktig behov for lagring, synkronisering og deling av data mellom utstyrsenheter og brukere. Selskapet ble etablert i 2007 og har gått fra å være én blant mange tjenester til å bli kongen på haugen. Resten er historie, noe jeg overlater til andre å berette. Jeg skal derimot vie noen ord til et par sikkerhetsbrudd som nylig ble avdekket . Det er ikke en nyhet lenger, men jeg vil oppsummere hva som skjedde fordi dette dreier seg om den viktigste egenskapen ved slike tjenester: Datasikkerhet. Eller mangel på det som her.

Bakgrunn

Jeg skriver dette fordi mitt selskap Invenia har utviklet en tjeneste for kryptert lagring og deling på Internett som av noen feilaktig sammenlignes med Dropbox mpt. funksjonalitet og sikkerhet. Selv om begge tilbyr lagring og deling via nettet, så er det to store forskjeller: Dropbox lagrer og synkroniserer data lokalt på den enkelte PC – vi gjør det utelukkende på Internett. Dropbox krypterer/dekrypterer alle data på nettet – vi gjør det lokalt på PC’en til den enkelte brukere. Effekten er at Dropbox ikke kan tilby full datasikkerhet til sine 25 millioner brukere. De har imidlertid hevdet det hele tiden, og nylig ble det tatt med boksen åpen for å si det slik. For det er kjent at man kun oppnår fullverdig sikkerhet ved å kryptere/dekrytpere lokalt hos den enkelte bruker slik vi gjør. Og det har verden begynt å skjønne, og dermed øker antall oppslag om manglende datasikkerhet i ulike tjenester. Men nå altså Dropbox sin historie.

Nyheten sprekker

På nyåret kom jeg over de første blogginnleggene som påpekte at Dropbox ikke var sikker. Det ble tilbakevist av Dropbox som refererte sine nettsider som behørig omtalte sikkerheten som fullverdig. Jeg så da konturene av en nyhetsboble. Men lite skjedde utover våren. Ikke før 12. april når doktorgradsstudent Christopher Soghoian ved Indiana University skrev blogginnlegget “How Dropbox sacrifices user privacy for cost savings”. Dagen etter har flere kilder rapportert at Dropbox endret sine vilkår fra “Alle filer lagret på Dropbox-servere er kryptert (AES256) og det kan ikke oppnås tilgang uten ditt kontopassord” til “Alle filer lagret på Dropbox-servere er kryptert (AES256)”. Dermed viste de at data lagret hos dem kan åpne av ansatte og myndigheter om det kreves. Det opprørte mange, bl.a. ZDNet som 18. april skrev artikkelen “If you have something to hide from the government, don’t use Dropbox”.

Dropbox har gitt en offisiell kommentar på denne endringen datert 21. april, og den bekrefter det den kløktige studenten fant ut; nemlig at de kan åpne dine filer. Begrunnelser er etter mitt skjønn dårlig da de hevder at data må krypteres på serverne da det ellers er umulig eller vanskelig å få tilgant via nettleser. Det er nok sant fordi ingen andre ser ut til å ha løst det heller. Jeg kan da slippe nyheten om at vi har løst det i vår tjeneste, noe vi søkte patent på i april i år. Innvilges det vil verdien på vår tjeneste mangedobles. Men det er en annen historie.

I Norge smalt denne nyheten 16. mai når Computerworld skrve “Dropbox-data ikke hemmelige likevel” med følgende konsise ingress: “Krypterer dataene på kontoen din, men har krypteringsnøkkelen også”. De refererete en artikkel hos ZDNet som tre dager før slo opp denne saken med følgende ingress:

“Dropbox, one of the favourite cloud synchronisation services available for free, ‘deceived’ its users about the security and encryption of its cloud storage services.”

Og nettopp det er problemet: Dropbox påstod at de ikke hadde nøklene til brukerne, men hadde det likevel slik at ansatte og myndigheter kan åpne brukernes filer. Og dermed var usannheten og sikkerhetsbruddet et faktum. Mange stod da i kø for å formidle denne nyheten, og når selveste The Economist skrev artikkelen “Keys to the cloud castle” den 18. mai tok det full fyr via sosiale medier. Dropbox fikk hendene fulle med å forsvare seg; først med å bortforklare – og deretter med å unnskylde når de kort tid etter var tvunget i kne. Det viser at det ikke er mulig å skjule noe på nettet.

Anmeldelse til FTC

Mange følte seg lurt av Dropbox til å tro at data var sikre hos dem. Noen ergret seg mer enn andre, og i særdeleshet studenten nevnt ovenfor som satte i gang denne saken med sitt blogginnlegg. Han har derfor levert en anmeldelse til den amerikanske handelskommisjonen (FTC) fordi han mener Dropbox har lurt sine brukere mtp. datasikkerhet. I tillegg mener han at Dropbox urettmessig har tillegnet seg en markedsledelse som følge av denne usanneheten. Hele klagen, som er i 54 punkter over 16 sider, kan leses her.

image

Nok et sikkerhetsbrudd

Ikke før hadde stormet roet seg før en ny skandale slo inn over Dropbox: “Dropbox var vidåpen i fire timer” skrev Computerworld den 22. juni. Årsaken skal ha vært feil i en oppdatering som gjorde at man kun trengte brukernavnet for å logge inn på Dropbox. Dermed stod 25 millioner brukerkonti åpne for hugg fra uvedkommende den 20. juni. Igjen var det vår omtalte student som varslet om dette først med dette blogginnlegget.

I ettertid raste debatten blant sikkerhetseksperter og vanlige brukere om dette var avorlig eller ikke. For privatpersoner som ikke lagrer sensitive data er ikke dette noe å rope høyt om mener mange. For bedrifter bør situasjonen være en helt annen.

Når store medier som bl.a. Mashable, TechCrunch og Computerworld skrev om dette, spredte nyheten seg raskt på nettet. Dropbox har naturligvis svart på dette med et blogginnlegg der det hele forsøkes minimert. Og det kan så være, men problemet er igjen manglende datasikkerhet. Det er for øvrig ikke bare Dropbox som har dette problemet; de fleste skytjenester for lagring og deling sliter med dette.

Vår tjeneste har datasikkerhet og privathet innebygd i sitt design, og er derfor en av få tjenester som kan garantere at data er kryptert hele tiden og hele veien – kun tilgjengelig for eieren og de han deler med. Det er mulig pga. en forskningsbasert sikkerhetsmodell og riktig håndtering av krypteringsnøkler. Det er en annen historie.

Endring i brukervilkårene

Og ikke nok med det: I juli endret Dropbox sine vilkår (omtalt her) på en måte som kan tyde på at de har innsyn i dine data. ZDNet kommenterte dette i sin artikkel “Convenience over privacy: Is Dropbox watching you?” der de avslutter med følgende råd:

“Dropbox offers a great service and useful free accounts, which is an attractive combination. Unfortunately, the terms of service do not offer adequate protections against sensitive data. For this reason, I suggest you discontinue use of the product for applications where privacy and confidentiality are mission critical. In practice, however, Dropbox is unlikely to read your “stuff” or prepare derivative works, despite what’s in the terms of service. Therefore, continue using Dropbox for everyday file transfers where you value convenience over an absolute guarantee of privacy.”

Hvor sikker er da Dropbox?

La meg føye meg inn i rekken av personer som hyller Dropbox som en enkel og funksjonell tjeneste for å synke data mellom brukere og deres ulike utstyrsenheter. Jeg har selv brukt Dropbox – men da til ikke-sensitive data. Og det er nettopp her valget ligger for mange; hvor lang skal en gå i bruken av Dropbox? Til nå har det vært slik at man enten må velge enkle tjenester med svak sikkerhet eller komplekse tjeneste med full sikkerhet. Målet med vår tjeneste er nettopp å bli en tjeneste som kombinerer det enkle med det sikre.

Utfordringen for mange er at de ikke har tilstrekkelig kunnskap til å skjønne om en tjeneste er sikker eller ikke, noe ovenfor nevnte artikkel i The Economist omtaler slik:

“Dropbox has massively expanded casual access to cloud storage, but a large part of its users probably lack the sophistication to differentiate between what may be safely stored there or in any similar service. With the right knowledge, customers could determine whether or not they care if any files are disclosed. When information is not encrypted on the computer before being sent to a storage service, there is always the risk of a leak, either deliberate or resulting from a software glitch.”

Jeg håper med dette innlegget å ha belyst hvor vanskelig temaet sikkerhet er i slike skytjenester, og hvor vanskelig det er å være en tjeneste som ikke forteller hele sannheten. Dropbox har fått noen skraper i lakken, men vil klare seg helt fint i fortsettelsen da det er en populær tjeneste.

Rådet fra ZDNet ovenfor kan stå som en god konklusjon.