Depois de demasiadas violações de dados, até que ponto o Dropbox é seguro?
Será que uma das maiores soluções de armazenamento em nuvem do mundo é realmente eficaz no que diz respeito à segurança e à privacidade?
O Dropbox foi lançado em 2008 e rapidamente se tornou um nome popular de armazenamento na nuvem, com 700 milhões de utilizadores registados em 2021. Se é um utilizador do Dropbox, provavelmente conhece as violações de dados e os escândalos do serviço de alojamento de ficheiros de grande tecnologia ao longo dos anos. Embora o Dropbox seja um popular fornecedor de grande tecnologia, existem atualmente muitos fornecedores de armazenamento alternativos que são semelhantes, se não melhores e mais seguros do que o Dropbox. Se está a pensar se o Dropbox é 100% seguro e privado, veio ao sítio certo. Como especialistas em privacidade, analisamos as características de privacidade e segurança do Dropbox para o ajudar a decidir se ainda é de confiança.
Já o dissemos antes e voltamos a dizê-lo: popular não significa melhor e, infelizmente, popular quase nunca significa privado. Especialmente quando se trata das suas informações privadas e dados pessoais. Durante muitos anos, o Dropbox foi um dos principais fornecedores de armazenamento na nuvem e, depois de todos os seus altos e baixos, talvez seja novidade para si que o Dropbox ainda não utiliza encriptação de ponta a ponta e, infelizmente, não protege a sua privacidade.
Em suma, isto significa que a empresa sediada nos EUA tem acesso e pode ver os seus ficheiros sempre que quiser. Assim, embora o Dropbox possa investir fortemente na proteção dos seus dados contra ataques externos, isso não significa que esteja a salvo de espionagem interna. Continue a ler para saber mais pormenores sobre as suas características de segurança e privacidade.
Índice:
- Um olhar sobre a segurança do Dropbox
- Mas ele é realmente seguro?
- Preocupações com a privacidade do Dropbox
Quando se procura um fornecedor de armazenamento na nuvem adequado, tal como o correio eletrónico, um sapato não serve para todos. Há muitos factores que deve ter em conta ao escolher o fornecedor de serviços na nuvem perfeito, sendo os mais importantes, na minha opinião, a segurança e a privacidade.
Quando falo de segurança dos dados, estou a referir-me à forma como os seus dados são protegidos. Se o fornecedor não protege os seus dados pessoais de explorações externas e internas, até que ponto é seguro? A segurança dos dados é utilizada quando os seus ficheiros são transportados do seu dispositivo pessoal para a nuvem e quando são armazenados num servidor de nuvem. A privacidade, tão importante como a segurança, refere-se a quem tem acesso às suas informações privadas e, se houver acesso, à forma como o seu fornecedor utiliza os seus dados pessoais.
O padrão de referência ou padrão-ouro que poderíamos dizer para o armazenamento em nuvem é aquele que tem encriptação de conhecimento zero, também referida como encriptação privada de ponta a ponta. Com a encriptação de ponta a ponta, apenas o utilizador tem acesso à sua conta e às suas informações privadas. Infelizmente, o Dropbox não suporta qualquer tipo de encriptação de ponta a ponta. Com uma encriptação adequada, é garantido que o utilizador, e apenas ele, tem acesso à sua conta - assim, tanto a caixa da privacidade como a da segurança estão marcadas.
Um olhar sobre a segurança do Dropbox
Em termos de segurança, o Dropbox adere a protocolos muito bons enquanto os seus ficheiros estão em trânsito do seu dispositivo para os servidores, bem como quando os seus ficheiros estão armazenados nos servidores. Tal como mencionado no seu sítio Web, quando os seus ficheiros estão em trânsito, o Dropbox utiliza a encriptação Secure Sockets Layer (SSL)/Transport Layer Security (TLS) - um protocolo de encriptação padrão utilizado pela maioria dos serviços online atualmente. O TLS/SSL protege os seus dados enquanto transitam entre o dispositivo e o servidor - sem essa encriptação, os seus dados estariam vulneráveis a ataques externos e disponíveis para todos lerem, tal como se estivesse a enviar um postal.
Se utilizar o Dropbox, os seus ficheiros são encriptados enquanto estão em trânsito, desencriptados à chegada e novamente encriptados, mas desta vez com Advanced Encryption Standard (AES) de 256 bits. Quando os seus dados são armazenados em repouso nos servidores do Dropbox, são protegidos por encriptação AES-256 bits, que também é utilizada por militares e governos a nível mundial. O problema com a implementação da encriptação do Dropbox é que ele tem acesso à chave privada que protege os seus dados. Assim, a empresa sediada nos EUA tem acesso total a todos os seus dados, uma vez que os pode desencriptar facilmente.
O Dropbox utiliza a encriptação SSL/TLS enquanto os seus ficheiros estão em trânsito e a encriptação AES-256 bit enquanto os seus ficheiros estão em repouso no seu servidor. Fonte da imagem: Dropbox
Embora o Dropbox utilize protocolos de encriptação padrão, não oferece encriptação de ponta a ponta, o que significa que os seus ficheiros e informações privadas podem ser acedidos sem que o utilizador se aperceba. Eles têm acesso à chave de encriptação, pelo que, em teoria, os seus ficheiros e informações privados são gratuitos para todos no Dropbox. Como já foi referido, o Dropbox é seguro a um nível mais geral, mas não podemos dar-lhe o aval por ser privado ou por oferecer encriptação de ponta a ponta. Com muitas das grandes empresas de tecnologia, como o Gmail ou o Outlook, vemos repetidamente que, sim, são seguras, mas relativamente à privacidade? Claro que não! - a privacidade do utilizador não suporta os seus modelos de negócio baseados em anúncios.
E sim, é claro que a Dropbox tem uma política de privacidade detalhada que indica claramente quais os dados que utiliza e como - mas, para começar, por que razão deveria ter acesso a todos estes dados? Precisamos de confiar neles ou existem opções mais seguras?
Funcionalidades de segurança adicionais
O Dropbox suporta a autenticação de dois factores, que acrescenta uma camada de proteção ao seu início de sessão. Como acontece com muitas contas on-line hoje em dia, você pode adicionar essa proteção extra usando uma chave de segurança ou um código durante o login, além de suas credenciais de login. A 2FA é recomendada para manter as suas contas a salvo de ataques externos, especialmente se as suas credenciais forem divulgadas - o que aconteceu durante a violação da Dropbox em 2021, em que 78 milhões de palavras-passe foram comprometidas.
Mas será que é realmente seguro?
Quando comecei a trabalhar no Tuta, aprendi rapidamente que a verdadeira segurança e privacidade só podem ser alcançadas quando ninguém, a não ser o utilizador ou o destinatário pretendido, pode aceder às informações - utilizando protocolos de encriptação rigorosos e de ponta a ponta, como no Tuta Mail. Com a criptografia de ponta a ponta, o arquivo é automaticamente criptografado antes de ser transmitido ao servidor. Quando os ficheiros estão no servidor, ficam inacessíveis e protegidos, pelo que ninguém, exceto o utilizador com a chave de encriptação, pode aceder aos mesmos.
Se pretender encriptar ficheiros no Dropbox, a situação torna-se um pouco mais técnica e complicada. Para tal, terá de utilizar uma ferramenta de encriptação de terceiros. Fonte da imagem: Dropbox
Embora o Dropbox não ofereça qualquer forma de encriptação de ponta a ponta como padrão, os utilizadores têm a opção de utilizar ferramentas de encriptação de terceiros como o Veracrypt, o que lhe permite carregar ficheiros encriptados para o Dropbox. É evidente que existe uma forma de contornar a obtenção da encriptação de ponta a ponta, mas esta é algo que deveria ser a predefinição desde o momento da inscrição, e não um inconveniente à custa do seu direito à privacidade.
Para resolver este problema, o Dropbox adquiriu recentemente o Boxcryptor - uma ferramenta de encriptação de ponta a ponta que lhe permite encriptar os seus ficheiros Dropbox antes de os carregar para a nuvem. No entanto, ainda não é claro se e como o Dropbox vai adicionar esta funcionalidade nativamente na sua aplicação. Se quiser saber mais sobre como encriptar os seus ficheiros Dropbox com o Boxcryptor, tem de contactar o Dropbox através do seu sítio Web.
Preocupações com a privacidade do Dropbox
O armazenamento na nuvem deve ser um local para guardar em privado os seus ficheiros e documentos importantes. Para muitos, a nuvem é a forma perfeita de fazer cópias de segurança de informações importantes, como documentos fiscais, fotografias e documentos financeiros que não quer perder quando o seu disco rígido avaria. Para as empresas que têm toneladas de registos, a nuvem é o local perfeito para armazenar estas informações confidenciais - mas para as empresas só deve ser uma opção se os registos permanecerem confidenciais e privados. Infelizmente, no caso do Dropbox, as informações armazenadas não são privadas e, sem privacidade, não podemos dizer que os ficheiros e dados dos utilizadores permanecem confidenciais. Isso gera uma grande preocupação.
O que é que o Dropbox faz com os dados dos utilizadores?
Na sua política de privacidade, o Dropbox deixa bem claro que processa os seus dados pessoais, recolhe e rastreia a sua utilização, o seu dispositivo e endereço IP e partilha as suas informações pessoais com terceiros “de confiança”, como a Amazon, a Google, a OpenAI, bem como com outras empresas pertencentes ao Dropbox. Para além de recolherem muitas informações sobre si, podem também partilhá-las com as autoridades policiais e outros terceiros, e o utilizador não tem literalmente qualquer controlo sobre estas práticas de partilha de dados.
Jurisdição do Dropbox
Outro fator a considerar é a jurisdição do Dropbox. A sua sede está localizada nos EUA e a maioria dos seus servidores também reside nesse país. O Dropbox tem servidores adicionais no Reino Unido, na UE, no Japão e na Austrália. Infelizmente, os utilizadores não têm a possibilidade de escolher onde querem que os seus dados sejam armazenados. Em termos de armazenamento de dados nos EUA, este é um grande “não” para nós, pois todos conhecemos as leis de proteção da privacidade inexistentes nos EUA, que facilitam o acesso das autoridades aos dados.
No fim de contas, tudo se resume a uma lição: a menos que utilize ferramentas de terceiros para encriptar os seus dados de ponta a ponta, os seus dados não são privados. Além disso, é evidente que a empresa sediada nos EUA recolhe grandes quantidades de informações e dados dos utilizadores para os partilhar com os seus parceiros de confiança, como a Google, cujo modelo de negócio se baseia na publicação de anúncios direccionados. Além disso, o código do Dropbox não é de fonte aberta e não adere aos principais padrões de privacidade e segurança - não existe encriptação de ponta a ponta por defeito. Portanto, não, o Dropbox não é a opção mais segura que existe.
Felizmente, estamos em 2024 e existem muitos mais fornecedores de serviços na nuvem centrados na privacidade do que há alguns anos atrás. Se você quiser abandonar o Dropbox, recomendamos esses provedores de nuvem criptografados de ponta a ponta para garantir que seus assuntos privados permaneçam privados.
A nossa lista de alternativas ao Dropbox:
- Tresorit: Um fornecedor suíço de armazenamento encriptado na nuvem que foi recentemente adquirido pelos Correios Suíços. Embora operando como uma empresa independente, isso pode levantar preocupações, pois o Swiss Post é controlado pelo governo suíço.
- Internxt: Uma alternativa ética de armazenamento em nuvem baseada na UE às plataformas das grandes tecnologias, como o Google Drive.
- Mega: Mega é o sucessor do Megaupload, o projeto controverso liderado por Kim DotCom.
- NextCloud: A colaboração de código aberto e o armazenamento na nuvem nunca foram tão fáceis!
Caso estes não satisfaçam as suas necessidades ou pretenda continuar a utilizar o DropBox, é importante que dedique algum tempo a encriptar os ficheiros localmente antes de os carregar para a nuvem. Esta solução alternativa manterá as suas informações seguras e acessíveis.
Qualquer que seja a opção escolhida, os seus dados têm de permanecer seguros agora e no futuro. É por isso que estamos a trabalhar para o lançamento da nossa própria plataforma de armazenamento na nuvem encriptada pós-quântica, a Tuta Drive. Com a Tuta Drive poderá manter os seus dados seguros contra as tácticas “Colher agora, desencriptar depois” utilizadas pelos programas de vigilância governamentais. Acreditamos que a privacidade deve ir além da comunicação e que os seus documentos privados merecem as mesmas protecções.
Vamos continuar a tornar a Internet melhor juntos!