E ora, la privacy su Dropbox

Il servizio per conservare i dati online è accusato di non aver avvisato chiaramente i propri utenti sulla gestione dei loro file

Dropbox è un servizio che consente di salvare i propri file online, così da averli sempre a disposizione da qualsiasi computer ci si colleghi, da tablet e da smartphone. Il sistema consente anche di condividere i file caricati con altri utenti e lo si può utilizzare sia attraverso il browser che attraverso un programma, che permette di caricare i file direttamente dalle finestre del sistema operativo. Dropbox esiste dal settembre del 2008 e in pochi anni ha raccolto diversi milioni di utenti, da qualche settimana preoccupati per la loro privacy.

Secondo Christopher Soghoian, un esperto di informatica, i file caricati su Dropbox sarebbero facilmente accessibili da parte degli impiegati della società, a differenza di quanto affermato fino a qualche tempo fa nella licenza d’uso proposta agli iscritti al servizio. Quando carichi un file su Dropbox, questo viene criptato per evitare che sia visibile a chi non possiede la tua password, tale limite sembra non valga per Dropobox stessa, che può quindi visualizzare i file caricati dagli utenti.

Il sito della società fino a qualche settimana fa dava questa informazione sulla sicurezza dei dati caricati:

Tutti i file memorizzati sui server di Dropbox sono criptati (AES256) e sono inaccessibili senza la password del tuo account.

A metà aprile la frase è stata modificata per eliminare la parte sulla password:

Tutti i file memorizzati sui server di Dropbox sono criptati (AES256).

La scelta di eliminare la parte sulla password dell’account conferma che la prima versione delle informazioni date da Dropbox non corrispondeva completamente al vero. Nella stessa pagina i responsabili della società hanno inserito un paragrafo per spiegare meglio le politiche adottate, come spiegato anche sul blog ufficiale di Dropbox a fine aprile.

Agli impiegati di Dropbox è fatto divieto di visualizzare il contenuto dei file che carichi con il tuo account Dropbox, e gli è solo consentito di vedere alcuni metadata (come per esempio il nome dei file e la loro collocazione). Come molti servizi online, abbiamo un piccolo numero di impiegati che devono poter accedere ai dati degli utenti per ragioni chiarite nella nostra politica sulla riservatezza (per esempio, quando ci viene richiesto legalmente di fare controlli). Ma si tratta di una eccezione rara, non della regola. Abbiamo politiche molto rigide e sistemi di controllo degli accessi che proibiscono agli impiegati di accedere salvo rare circostanze. Inoltre, utilizziamo alcune misure di sicurezza sia fisica che elettronica per proteggere gli utenti dagli accessi non autorizzati.

Il paragrafo è stato di recente modificato in parte, prima si diceva che i contenuti dei file non fossero in alcun modo accessibili. Secondo Soghoian la pratica di visualizzazione e accedere ai file da parte di alcuni impiegati di Dropbox sarebbe molto più frequente. Quando carichi un nuovo file, il sistema verifica se questo sia stato caricato o meno da qualche altro utente. Se è così, il file viene fisicamente conservato una sola volta e messo a disposizione degli utenti, operazione che permette a Dropbox di risparmiare molto spazio e di non avere doppioni di file. Inoltre, i sistemi per criptare i dati (le chiavi che consentono di decodificare le informazioni) sono in possesso di Dropbox, che quindi può facilmente capire che tipo di file hai caricato.

Soghoian ha inviato un reclamo (pdf) alla Federal Trade Commission degli Stati Uniti, invitandola a indagare sulla politica seguita da Dropbox, accusata di adottare politiche poco trasparenti sul trattamento dei dati caricati dagli utenti. Nel reclamo, l’esperto di informatica ricorda che altri servizi analoghi a Dropbox utilizzano maggiori sistemi di garanzia per gli utenti, come la possibilità di possedere le chiavi per criptare i file sui propri computer, rendendo così il loro contenuto non visibile ad altri. Per Dropbox c’è anche l’accusa di non utilizzare sempre connessioni sicure per il caricamento e lo scambio dei file utilizzati dagli utenti. La società respinge le accuse, dicendo di aver chiarito ad aprile i punti poco chiari sul trattamento dei dati.