Dropbox に対して、このホスティングの2500万人のユーザーの詐欺に関する訴訟を要求する連邦取引委員会に対して苦情 (PDF)が提出されました。 創業以来、Dropboxは従業員が暗号化されたユーザーファイルにアクセスできないと述べています。 参照セクションには、「すべてのファイルはAES-256で暗号化されており、パスワードなしでは復号化できない 」と書かれていました。
最近、これはそうではないことが判明しました。 Dropboxの従業員は、必要と判断した場合にファイルを復号化できることが判明しました。 2011年4月13日、文の2番目の部分(斜体)は情報セクションから削除されました。
さらに、情報セクションの他の文言が変更されました。
古い言い回し:「Dropboxの従業員はユーザーファイルにアクセスできません。問題が発生した場合、メタデータ(ファイル名、ファイルサイズなど、コンテンツではない)のみを見ることができます」/また、アカウントのトラブルシューティングを行う場合、ファイルのメタデータ(ファイルの内容ではなく、ファイル名、ファイルサイズなど)にのみアクセスできます。
新しい表現:「Dropboxの従業員は、Dropboxアカウントに保存したファイルのコンテンツを表示できません。また、ユーザーがフォルダーに保存したファイルのコンテンツを表示できます。ファイル名やパスなどのメタデータのみを表示できます。」ファイルのメタデータ(ファイル名や場所など)の表示のみが許可されます。
説明文も追加されました。ほとんどのオンラインサービスと同様に、Dropboxには「少数の従業員」がおり、プライバシーポリシーに記載されているまれなケースでこれを行います。
FTCへの苦情の著者であるChristopher Soghoian氏によると、Dropboxは、ファイルの信頼性の高い暗号化保護を本当に提供する競合他社よりも不当な優位性を獲得しました。
苦情に対する Dropboxの公式の対応は、主張が「期限切れ」であり、 4月21日の Dropboxの公式ブログ投稿で状況が明らかにされたというものです。 Dropboxの立場は、暗号化キーを保存していないと主張したことがない、つまり、だれもだましていないと言われているという事実に要約されています。
ご存じのように、Dropboxアルゴリズムは、アップロードされた各ファイルのハッシュと、ホスティングに既に保存されているファイルのハッシュを比較することに基づいています。 つまり、ファイルが暗号化された形式でサーバーに保存されている場合でも、ファイルの内容は引き続き分析されます。 Dropboxプライベートプロトコルの機能を使用するプログラムを変更することにより、2500万人のDropboxユーザーがボックスに特定のファイルを持っているかどうかを簡単に確認できます。
サーバー上のファイルを復号化せずに重複を見つける方法についてのスキームがありますが 、Dropboxは明らかにエレガントに動作しません。 このような結論は、キーを保持しているという事実に基づいて作成できます。
同時に、DropboxのライバルであるSpiderOakおよびWualaオンラインホスティングプロバイダーは 、キーを保存しないため、理論的にはユーザーファイルにアクセスすることさえできません。 したがって、彼らは重複を特定できず、ユーザーファイルの保存により多くのリソースを費やすことを余儀なくされ、ユーザーの安全のために全額を支払います(明らかに、前述のスキームを考えたり、欠陥を見なかったりしました)。
Sogoyanによると、Dropboxは「Dropboxは「銀行や軍と同じセキュリティ方法を使用する」」と述べており、「Dropbox上のファイルは自宅のコンピューターよりも安全です。」 FTCは、DropboxにWebサイト上のデータ保護条件を明確に説明させ、各Dropboxユーザーにファイルの内容を表示できることを明確に説明したメールを送信し、有料アカウントのユーザーに報酬を支払い、将来的に不正なステートメントの使用を禁止することをFTCに要求します。
Dropboxはユーザーにデータ保護について嘘をつき、FTCに提出された苦情
All Articles