Dropbox in de knoop met privacy
Door het misleiden van consumenten begaat Dropbox een malafide handelspraktijk die door het FTC zou moeten worden bestreden, betoogt Soghoian, die zelf gedurende een jaar voor het FTC werkzaam was.
Tegenover Wired, dat de kwestie op de site breed uitmeet, wijst Dropbox de beschuldigingen van de hand door te verwijzen naar zijn blog, waarin inderdaad uit de doeken wordt gedaan dat DropBox zich onder de Amerikaanse wetgeving verplicht weet bestanden onder bepaalde voorwaarden aan de overheid beschikbaar te stellen. Het punt van Soghoian is echter dat Dropbox bij andere gelegenheden op z’n minst de indruk heeft gewekt dat zulks vanwege de versleuteling onmogelijk zou zijn, wat inmiddels geenszins het geval blijkt. In de genoemde blogpost raadt Dropbox zelf gebruikers die willen voorkomen dat de overheid of Dropbox echt hun bestanden kan inzien aan, een eigen versleuteling toe te passen in aanvulling op de door DropBox toegepaste AES 256-versleuteling. DropBox suggereert daarvoor het gebruik van TrueCrypt.
Dropbox analyseert bestanden voor opslag
Een andere kwestie is dat Dropbox ruimte bespaart door bestanden alleen op te slaan voor zover ze uniek zijn. Als een gebruiker een bestand aanbiedt dat eerder al door een andere gebruiker werd opgeslagen, dan wordt de file volgens Soghoian niet geüpload en belandt in het Dropbox directory van de betreffende gebruiker slechts een koppeling naar de al eerder opgeslagen file van de andere gebruiker. Dropbox analyseert voor het uploaden dus wel gedegelijk de inhoud van de bestanden, op basis van een zogenoemde hash-code, en beheert kennelijk ook de encryptiesleutels van die files, teneinde beide gebruikers toegang te geven tot eenzelfde versleuteld bestand.
De claim als zouden de eigen mensen van Dropbox de bestanden niet kunnen ontsleutelen, zou volgens de woordvoerder niet verwijzen naar een technische onmogelijkheid maar naar de organisatorische beperking van de toegang tot de encryptiesleutels. Maar Soghoian wijst erop dat tot het moment dat hij de kwestie aankaarte op de site van Dropbox wel degelijk werd gesteld dat “... medewerkers niet in staat zijn gebruikersbestanden te openen, en bij probleemoplossing alleen toegang hebben tot bestandsmetadata (bestandsnamen, bestandsgroottes en dergelijke, niet de inhoud).” Sinds enige tijd luidt de tekst “Dropbox-mewerkers wordt verboden de inhoud van de bestanden die u in uw account opslaat te bekijken en wordt uitsluitend toegestaan de metadata (zoals bestandsnamen en -locaties) te zien.” Ook is een uitleg toegevoegd die erop neerkomt dat een klein aantal medewerkers wel de mogelijkheid heeft om, binnen de kaders van het privacybeleid, in uitzonderlijke gevallen gebruikersbestanden in te zien.
Concurrenten respecteren 'bestandsgeheim' wel
Om zijn beschuldiging van concurrentievervalsing te schragen wijst Soghoian er op dat ten minste twee van Dropbox’ concurrenten - SpiderOak en Wuala - ook beweren zelf niet bij de gegevens van hun gebuikers te kunnen komen. Maar deze claims zouden volgens de onderzoeker terecht zijn, wat impliceert dat zij dubbele opslag van identieke bestanden niet kunnen voorkomen en ze dus duurder uit zijn dan Dropbox. Hoe groot Dropbox' besparing door het ontdubbelen in de praktijk is vermeldt het hele verhaal niet.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee