Dopo una violazione di dati di troppo, quanto è sicuro Dropbox?
Una delle soluzioni di cloud storage più grandi al mondo è davvero all'altezza della situazione in termini di sicurezza e privacy?
Dropbox è stato lanciato nel 2008 ed è diventato rapidamente un nome popolare per il cloud storage, con 700 milioni di utenti registrati nel 2021. Se siete utenti di Dropbox, molto probabilmente conoscete le violazioni dei dati e gli scandali che il servizio di file hosting di big tech ha subito nel corso degli anni. Sebbene Dropbox sia un popolare provider di big tech, oggi esistono molti provider di storage alternativi che sono simili, se non migliori e più sicuri di Dropbox. Se vi state chiedendo se Dropbox è sicuro e privato al 100%, siete nel posto giusto. In qualità di esperti di privacy, diamo un’occhiata alle caratteristiche di privacy e sicurezza di Dropbox per aiutarvi a decidere se ci si può ancora fidare.
Lo abbiamo già detto e lo ripetiamo: popolare non significa migliore, e purtroppo popolare non significa mai privato. Soprattutto quando si tratta di informazioni e dati personali. Per molti anni Dropbox è stato uno dei principali fornitori di cloud storage, e dopo tutti i suoi alti e bassi potrebbe essere una novità per voi che Dropbox in realtà non utilizza ancora la crittografia Ende-zu-Ende e purtroppo non protegge la vostra privacy.
In breve, questo significa che l’azienda statunitense ha accesso e può vedere i vostri file quando vuole. Quindi, anche se Dropbox può investire molto nella protezione dei vostri dati da attacchi esterni, non significa che sia al sicuro da spionaggio interno. Continuate a leggere per approfondire le caratteristiche di sicurezza e privacy.
Indice dei contenuti:
Quando si cerca un provider di cloud storage adatto, come per la posta elettronica, una scarpa non va bene per tutti. Ci sono molti fattori da considerare quando si sceglie il provider cloud perfetto, il più importante a mio avviso è la sicurezza e la privacy.
Quando parlo di sicurezza dei dati, mi riferisco al livello di protezione dei vostri dati. Se il provider non protegge i vostri dati personali da exploit esterni e interni, quanto è sicuro? La sicurezza dei dati viene messa in atto quando i file vengono trasportati dal dispositivo personale al cloud e quando vengono archiviati su un server cloud. La privacy, altrettanto importante della sicurezza, si riferisce a chi ha accesso alle informazioni private e, in caso di accesso, a come il provider utilizza i dati personali.
Il punto di riferimento o gold standard per il cloud storage è quello che prevede la crittografia a conoscenza zero, detta anche crittografia privata Ende-zu-Ende. Con la crittografia Ende-zu-Ende, solo l’utente ha accesso al proprio account e alle proprie informazioni private. Purtroppo Dropbox non supporta alcun tipo di crittografia Ende-zu-Ende. Con una crittografia adeguata si ha la garanzia che solo l’utente ha accesso al proprio account, quindi sia la privacy che la sicurezza sono selezionate.
Uno sguardo alla sicurezza di Dropbox
In termini di sicurezza, Dropbox si attiene a protocolli molto validi sia quando i file sono in transito dal dispositivo ai suoi server, sia quando i file sono archiviati sui suoi server. Come indicato sul sito web, quando i file sono in transito, Dropbox utilizza la crittografia Secure Sockets Layer (SSL)/Transport Layer Security (TLS), un protocollo di crittografia standard utilizzato oggi dalla maggior parte dei servizi online. TLS/SSL protegge i vostri dati durante il passaggio tra il dispositivo e il server: senza questa crittografia, i vostri dati sarebbero vulnerabili agli attacchi esterni e sarebbero leggibili da chiunque, proprio come se steste inviando una cartolina.
Se utilizzate Dropbox, i vostri file vengono crittografati durante il transito, decifrati all’arrivo e nuovamente crittografati, ma questa volta con Advanced Encryption Standard (AES) a 256 bit. Quando i dati sono archiviati a riposo sui server di Dropbox, sono protetti dalla crittografia AES-256 bit, utilizzata anche da militari e governi di tutto il mondo. Il problema dell’implementazione della crittografia di Dropbox è che ha accesso alla chiave privata che protegge i vostri dati. In questo modo, l’azienda statunitense ha pieno accesso a tutti i vostri dati, potendoli decifrare facilmente.
Dropbox utilizza la crittografia SSL/TLS quando i file sono in transito e la crittografia AES-256 bit quando i file sono a riposo nel suo server. Fonte dell’immagine: Dropbox
Pur utilizzando i protocolli di crittografia standard, Dropbox non offre la crittografia Ende-zu-Ende, il che significa che i vostri file e le vostre informazioni private sono accessibili senza che voi ve ne accorgiate. Loro hanno accesso alla chiave di crittografia, quindi in teoria i vostri file e le vostre informazioni private sono liberi per tutti su Dropbox. Come già detto, Dropbox è sicuro a livello generale, ma non possiamo dargli un voto positivo per la sua riservatezza o per l’offerta della crittografia Ende-zu-Ende. Con molte grandi aziende tecnologiche come Gmail o Outlook, vediamo sempre che, sì, sono sicure, ma per quanto riguarda la privacy? La privacy degli utenti non supporta i loro modelli di business basati sugli annunci pubblicitari.
E sì, ovviamente Dropbox ha un’informativa sulla privacy dettagliata che indica chiaramente quali dati utilizza e come - ma perché dovrebbe avere accesso a tutti questi dati? Dobbiamo fidarci di loro o ci sono opzioni più sicure?
Ulteriori funzioni di sicurezza
Dropbox supporta l’autenticazione a due fattori, che aggiunge un livello di protezione al vostro login. Come per molti account online al giorno d’oggi, è possibile aggiungere questa protezione supplementare utilizzando una chiave di sicurezza o un codice durante l’accesso, oltre alle credenziali di accesso. La 2FA è consigliata per mantenere i vostri account al sicuro da attacchi esterni, soprattutto se le vostre credenziali sono trapelate, come è successo durante la violazione di Dropbox del 2021, in cui sono state compromesse 78 milioni di password.
Ma è davvero sicuro?
Quando ho iniziato a lavorare in Tuta ho imparato subito che la vera sicurezza e la privacy possono essere raggiunte solo quando nessuno, a parte l’utente o il destinatario, può accedere alle informazioni, utilizzando rigorosi protocolli di crittografia Ende-zu-Ende come in Tuta Mail. Con la crittografia Ende-zu-Ende il file viene automaticamente crittografato prima di essere trasmesso al server. Quando i file sono a riposo sul server, sono inaccessibili e protetti, quindi nessuno, tranne l’utente con la chiave di crittografia, può accedervi.
Se si desidera crittografare i file su Dropbox, la questione diventa un po’ più tecnica e complicata. È necessario utilizzare uno strumento di crittografia di terze parti. Fonte dell’immagine: Dropbox
Sebbene Dropbox non offra alcuna forma di crittografia Ende-zu-Ende come impostazione predefinita, gli utenti hanno la possibilità di utilizzare strumenti di crittografia di terze parti come Veracrypt, che consente di caricare file crittografati su Dropbox. È evidente che c’è un modo per aggirare la crittografia Ende-zu-Ende, ma si tratta di qualcosa che dovrebbe essere predefinito fin dal momento dell’iscrizione, e non di un inconveniente a scapito del diritto alla privacy.
Per risolvere questo problema, Dropbox ha recentemente acquisito Boxcryptor, uno strumento di crittografia Ende-zu-Ende che consente di crittografare i file Dropbox prima di caricarli sul cloud. Tuttavia, non è ancora chiaro se e come Dropbox aggiungerà questa funzionalità in modo nativo nella sua applicazione. Per saperne di più su come crittografare i file Dropbox con Boxcryptor, è necessario contattare Dropbox tramite il suo sito web.
Problemi di privacy con Dropbox
Il cloud storage dovrebbe essere un luogo in cui conservare privatamente i propri file e documenti importanti. Per molti, il cloud è il modo perfetto per eseguire il backup di informazioni importanti come documenti fiscali, immagini e documenti finanziari che non si vogliono perdere quando il disco rigido si rompe. Per le aziende che hanno tonnellate di documenti, il cloud è il luogo perfetto per archiviare queste informazioni riservate, ma per le aziende dovrebbe essere un’opzione solo se i documenti rimangono riservati e privati. Purtroppo, nel caso di Dropbox le informazioni archiviate non sono private e senza privacy non si può dire che i file e i dati degli utenti rimangano riservati. Questo solleva una grande preoccupazione.
Cosa fa Dropbox con i dati degli utenti?
Nella sua politica sulla privacy, Dropbox afferma chiaramente che elabora i dati personali degli utenti, raccoglie e traccia l’utilizzo, il dispositivo e l’indirizzo IP e condivide le informazioni personali con terze parti “fidate” come Amazon, Google, OpenAI e altre società di proprietà di Dropbox. Oltre a raccogliere molte informazioni su di voi, possono anche condividerle con le forze dell’ordine e altre terze parti, e voi come utenti non avete letteralmente alcun controllo su queste pratiche di condivisione dei dati.
Giurisdizione di Dropbox
Un altro fattore da considerare è la giurisdizione di Dropbox. La sua sede centrale è negli Stati Uniti e anche la maggior parte dei suoi server risiede lì. Dropbox ha altri server nel Regno Unito, nell’UE, in Giappone e in Australia. Purtroppo, gli utenti non hanno la possibilità di scegliere dove archiviare i propri dati. Per quanto riguarda l’archiviazione dei dati negli Stati Uniti, questo è un grande no per noi, poiché conosciamo tutti le inesistenti leggi sulla protezione della privacy negli Stati Uniti, che rendono facile l’accesso ai dati da parte delle autorità.
Alla fine dei conti, la lezione è una sola: a meno che non si utilizzino strumenti di terze parti per la crittografia Ende-zu-Ende dei dati, questi non sono privati. Inoltre, è evidente che l’azienda statunitense raccoglie enormi quantità di informazioni e dati degli utenti anche per condividerli con i suoi partner di fiducia, come Google, il cui modello di business si basa sulla pubblicazione di annunci pubblicitari mirati. Inoltre, il codice di Dropbox non è open source e non aderisce ai migliori standard di privacy e sicurezza: non esiste una crittografia Ende-zu-Ende di default. Quindi no, Dropbox non è l’opzione più sicura in circolazione.
Per fortuna, siamo nel 2024 e ci sono molti più fornitori di cloud incentrati sulla privacy rispetto a un paio di anni fa. Se volete abbandonare Dropbox, vi consigliamo questi fornitori di cloud crittografati Ende-zu-Ende per garantire che le vostre questioni private rimangano tali.
Il nostro elenco di alternative a Dropbox:
- Tresorit: Un provider svizzero di cloud storage criptato che è stato recentemente acquisito dalla Posta Svizzera. Sebbene operi come azienda indipendente, ciò può destare preoccupazioni in quanto la Posta è controllata dal governo svizzero.
- Internxt: Un’alternativa di cloud storage etico con sede nell’UE alle piattaforme di Big Tech come Google Drive.
- Mega: Mega è il successore di Megaupload, il controverso progetto guidato da Kim DotCom.
- NextCloud: La collaborazione open source e il cloud storage non sono mai stati così facili!
Nel caso in cui queste soluzioni non soddisfino le vostre esigenze o vogliate continuare a utilizzare DropBox, è importante che vi prendiate il tempo di crittografare i file in locale prima che vengano caricati nel cloud. Questa soluzione manterrà le vostre informazioni sicure e accessibili.
Qualunque sia l’opzione scelta, i dati devono rimanere al sicuro ora e in futuro. Ecco perché stiamo lavorando per rilasciare la nostra piattaforma di cloud storage crittografato post-quantum Tuta Drive. Con Tuta Drive sarete in grado di tenere i vostri dati al sicuro dalle tattiche “Raccogli ora, decripta dopo” utilizzate dai programmi di sorveglianza governativi. Crediamo che la privacy debba andare oltre la comunicazione e che i vostri documenti privati meritino la stessa protezione.
Continuiamo a rendere Internet migliore insieme!