2011-05-16 14:42:08 来源:搜狐IT
据国外媒体报道,深受用户追捧的网络存储系统Dropbox日前遭受来自某著名安全研究员的投诉称,在数据安全和数据加密方面欺骗用户,借此获得竞争优势。
该投诉控告Dropbox网盘欺骗用户说他们的资料将完全加密,甚至连Dropbox内部员工都无法看到用户存储的文件内容,但是,一名博士生Christopher Soghoian上个月发布的一份数据显示,Dropbox可以窥视用户的文件内容,这使得用户面临着被政府搜查和被不怀好意的Dropbox员工偷窥文件、甚至遭遇侵犯版权诉讼的风险。
Soghoian在FTC工作过一年,他指控Dropbox“仍在继续欺骗用户他们的文件和数据受到了很好的保护和加密。”他表示,Dropbox的这些声明已经构成了贸易欺骗行为,将会受到FTC的调查。
Dropbox方面驳斥了Soghoian的控诉。
Dropbox发言人朱丽?苏潘(Julie Supan)在一封写给《连线》杂志的电子邮件中指出:“我们认为Soghoian的控诉毫无依据,这只是对我们在2011年4月21日的博客文章中发布的内容旧事重提。每天都有数百万用户使用Dropbox网盘,我们一直都致力于保护用户数据的安全性、可靠性以及隐秘性。”
拥有着2500万用户的Dropbox在4月13日修改了其网站声明中的数据安全条款。由原来的
“所有存储在Dropbox网盘上的文件都将被加密(AES256),必须有用户密码才能登陆查看。”
改为“所有存储在Dropbox网盘上的文件都将被加密(AES256)。”
Soghoian强调,这个变化是十分重要的。(如果你觉得这个名字十分熟悉,你可能会记得他就是本周新闻发布会上曝光Facebook尝试炮制新闻诋毁谷歌的人。)
Dropbox通过在上传前使用哈希数据分析用户文件来节省存储空间,哈希数据就是根据文件内容生成的一个短签名。如果另一个Dropbox网盘用户已经存储过该文件,那么Dropbox就不再上传该文件,只需“添加”该文件到用户的Dropbox网盘上。
文件加密和解密的密钥也是由Dropbox掌握的,而非存储在用户的电脑上。
所有这些举动都意味着Dropbox员工可以窥见用户存储资料的内容,并且能够在受到传讯时将没有加密的文件移交给政府或者一些外部组织。
Dropbox公司的Supan表示公司从未这么说过:
“在我们的帮助条款里,我们已经声明‘Dropbox员工无法登陆查看用户文件。’这意味着我们会通过一些后台的权限控制和严格的禁制政策防止其他人的偷窥行为。该声明并没有说明是谁掌握着密钥或者采取了何种技术来防止他人登陆偷窥数据。于是我们更新了该帮助条款和安全概要,明确了上述问题的答案。此外还要声明的是,我们从未说过我们没有加密的密钥。一直以来我们都在我们的公共论坛上就该事实发布了许多相关帖子,我们一直都对用户非常公开。”
[page]
但是FTC的那份投诉宣称:Dropbox的确这么承诺过。
直到今年4月13日,Dropbox的网站上就如下承诺:
Dropbox员工无法查看用户文件,当用户账号出现问题时,他们也只能查看元数据,即文件名、文件大小等等,而不能查看文件内容。
而现在该网站声明:
Dropbox员工将被禁止查看您在Dropbox网盘上存储的文件内容,只能查看元数据,比如文件名和所在地。
Dropbox公司还在该条款后添加了如下内容:
与大多数网络存储系统一样,我们也必须有极少数员工可以查看用户数据,原因在我们的隐私条款中都有说明(比如法律规定的一些行为)。但那只是极少数的例外。除了这些极少数的情况外,我们有极为严格的政策规定和高技术含量的权限控制来禁止员工查看用户数据。此外,我们还采用了大量的物理和电子安全措施来保护用户的信息不受非法查看。
该投诉指出,至少两家Dropbox的竞争对手SpiderOak和Wuala都做过类似Dropbox的安全声明,但是他们由于没有掌握文件的加密密钥而无法查看用户数据。这意味着这些服务商必须在文件存储上花费更多的资金和精力,因为他们无法检测由不同用户上传的重复文档。这就使得Dropbox可以将竞争对手逼于不利竞争地位的同时,毫无后顾之忧地对用户承诺完全安全性而不用付出相关代价。(SpiderOak公司声明,该公司能够检测到重复文档来节省用户的存储空间。)
该投诉还称,包括计算机安全专家在内的而用户都对Dropbox的安全声明感到困惑。
Soghoian还引用了Dropbox的博客文章和一条来自PGP公司的前首席技术官Jon Callas的推特作为其投诉的证据。PGP公司是最受欢迎的加密产品供应商之一。Callas现效力于苹果公司,专注产品安全方面。
Callas在4月19日的Twitter上写道:“我注销了我的Dropbox网盘账号,事实证明Dropbox欺骗了广大用户,他们并没有真正加密用户的文件,甚至会将这些文件移交给任何需要的人。”(技术层面上说,Callas的话并不完全正确,因为文件的确被加密了,只是没有在用户设备上加密。)
该投诉还称,Dropbox在其手机应用产品上也误导了广大用户。Dropbox方面称其产品可以通过一个加密的HTTPS请求在用户使用的设备和Dropbox服务器之间实现连接,但实际上,并不是所有的连接都是被加密的。
Soghoian请求FTC迫使Dropbox进一步阐明其网站上的声明,并联系所有用户告知他们Dropbox可以查看他们的文件,Dropbox还应当给专业用户提供退款,并保证以后不再发表欺骗用户的声明。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。