พนักงานที่ใช้ Dropbox มีความเสี่ยงด้านความปลอดภัยอะไรบ้าง


17

มีข้อกังวลด้านความปลอดภัยใด ๆ ที่ต้องระลึกไว้เสมอเกี่ยวกับการใช้ Dropbox file sharing / versioning / backuping ทั่วทั้ง บริษัท และมีตัวเลือกหรือการตั้งค่าเฉพาะที่จะแนะนำเพื่อจำกัดความเสี่ยงหรือไม่?


ต่อไปนี้เป็นคำอธิบายโดยละเอียดเกี่ยวกับปัญหาด้านความปลอดภัยหลักและประเด็นทางกฎหมายของ Dropbox สำหรับการใช้งานในองค์กรและส่วนตัว: blog.5ttt.org/dropbox

คำตอบ:


7

มันขึ้นอยู่กับธุรกิจและระดับความหวาดระแวงของคุณ มันปลอดภัยกว่ามากแม้ว่าจะมีราคาแพงกว่าในการออกแล็ปท็อปด้วยการเชื่อมต่อ VPN

เร็วจริงๆ...

ความเสี่ยงบางอย่าง:

  • อดีตพนักงานอาจเข้าถึงข้อมูลทางธุรกิจหลังจากการจ้างงานสิ้นสุดลง คุณเป็นธุรกิจที่ต้องควบคุมบัญชีหากคุณไม่ต้องการให้พนักงานที่ไม่พอใจบางคนสามารถเข้าถึงสิ่งต่าง ๆ หลังจากถูกไล่ออก ...
  • บริการเหล่านี้จะหลีกเลี่ยงกลไกการเก็บรักษาเอกสารอัตโนมัติที่คุณมีอยู่ซึ่งจะเพิ่มพื้นที่อื่นให้คุณครอบคลุมสำหรับการเก็บรักษาเอกสารด้วยตนเอง

คำแนะนำ:

  • ตรวจสอบให้แน่ใจว่าคุณสามารถสร้างรหัสการเข้ารหัสของคุณเองเพื่อจัดเก็บข้อมูลและไม่แบ่งปันคีย์กับผู้ให้บริการ
  • ตรวจสอบให้แน่ใจว่าข้อมูลของคุณถูกเข้ารหัสก่อนที่จะถูกส่งไปยังที่เก็บของบริการ
  • หากคุณต้องการให้บุคคลมีบัญชีของตัวเองให้ติดต่อกับ บริษัท ของคุณเพียงจุดเดียว ประสานงานบัญชีทั้งหมดผ่านบุคคลนี้ (หรือสองคนเป็นผู้รับมอบฉันทะ) หรือตรวจสอบให้แน่ใจว่าผู้ให้บริการสนับสนุนบัญชีธุรกิจที่คุณสามารถจัดกลุ่มพนักงานตาม

ประเด็นเกี่ยวกับการไม่ควบคุมบัญชีของอดีตพนักงานมีประโยชน์ เราจะเพิ่มการยกเลิกการแชร์โฟลเดอร์เป็นส่วนหนึ่งของแผนการเลิกจ้างใด ๆ
davebug

นอกจากนี้ยังก่อให้เกิดปัญหาสำหรับธุรกิจในสหภาพยุโรปเนื่องจากมีความเสี่ยงที่ชัดเจนสำหรับข้อมูลส่วนบุคคลที่จะสิ้นสุดในสภาพแวดล้อมที่ไม่สามารถควบคุมได้ เช่นเดียวกันสำหรับธุรกิจในสหรัฐอเมริกาที่ต้องการเก็บใบรับรองความปลอดภัย (เพื่อให้สามารถประมวลผลข้อมูลส่วนบุคคลของสหภาพยุโรปได้)
Vatine

5

ฉันจะเหยียบอย่างระมัดระวังที่นี่ Dropbox เปิดใช้งานส่วนขยายไปยังฮาร์ดไดรฟ์ของคอมพิวเตอร์เครื่องอื่น

ส่วนขยายนั้นแย่กว่าคีย์ USB ในแง่ที่ว่าการติดเชื้อในพีซีเครื่องหนึ่งสามารถเข้าถึงพีซีเครื่องอื่น ๆ ที่ใช้ที่ใช้ร่วมกันได้ง่ายกว่าคีย์ USB ผู้เขียนไวรัส / โทรจัน / บ็อตไม่ได้ตั้งเป้าหมายดรอปบ็อกซ์ (แต่) หากพวกเขาตัดสินใจคุณจะมีประตูปลดล็อคเสมือนจริงจาก บริษัท ที่ควบคุมพีซีบนเครือข่ายที่ปลอดภัยไปยังคอมพิวเตอร์ที่ไม่ปลอดภัยบนเครือข่ายที่ไม่ปลอดภัย เช่นเดียวกับการใช้งานปกติคุณจะไม่สามารถผ่านเข้าไปในประตูนั้นและดูสิ่งอื่น ๆ บนคอมพิวเตอร์ได้มีเพียงรายการภายใน dropbox เท่านั้นที่สามารถมองเห็นได้และรายการใหม่สามารถสร้างได้เฉพาะในพื้นที่นั้น แต่นั่นก็คือสมมติว่า แอปพลิเคชันดรอปบ็อกซ์ไม่สามารถถูกบุกรุกได้

นอกจากนี้ Dropbox อ้างถึงความปลอดภัยเป็นอย่างมาก แต่สิ่งที่พิสูจน์ได้สำหรับคุณคืออะไร อาจเป็นไปได้ที่บางคนสามารถแอบเข้าไปในหน้าต่างนั้นจากระยะไกลจากพีซีที่แตกต่างกันโดยสิ้นเชิงและพยายามที่จะวางเอกสารและโปรแกรมที่ติดไวรัสลงบนพีซีที่ทำงาน

เห็นได้ชัดว่ามีโปรโตคอลดรอปบ็อกซ์ที่ใช้ในการสื่อสารกับลูกค้า - เข้ารหัสหรือไม่ มันมีภูมิคุ้มกันเพื่อบัฟเฟอร์ล้นหรือไม่ ผู้ชายกำลังโจมตีอยู่ตรงกลาง? ดมกลิ่น? เล่นซ้ำการโจมตี? เป็นไปได้ที่จะใช้โปรโตคอลมาตรฐานวางไฟล์ไว้ในหรือนอกพื้นที่ดรอปบ็อกซ์มาตรฐานหรือไม่? หากโพรโทคอลมีบัฟเฟอร์โอเวอร์โฟลว์เป็นไปได้ที่จะประนีประนอมกับมันเพื่อให้สามารถเข้าถึงเครื่องได้อย่างสมบูรณ์ เครือข่ายแชร์บนเครื่อง?

ฉันไม่คิดว่าความเสี่ยงนั้นสูงมากนัก แต่ความเสียหายที่เกิดขึ้นนั้นมีมากมายดังนั้นจึงเป็นสิ่งที่ต้องพิจารณาอย่างรอบคอบ

อดัม


3
Dropbox ภายในใช้ rsync ผ่านการปฏิบัติการแบบ Python แม้ว่าฉันจะคาดเดาได้ว่าโปรโตคอลที่ใช้นั้นไม่ได้มาตรฐาน
Joel Lucsy

5

หวาดระแวง ????

เพื่อน .. ก้าวออกจากเครือข่าย .. ช้า .. ด้วยมือของคุณออกไปจากคีย์บอร์ด .. ทำมันตอนนี้ !!!

ไฟล์แชร์บนคลาวด์โซลูชัน "ผู้บริโภค" อย่าง Dropbox ไม่ได้มีไว้สำหรับธุรกิจหรือ บริษัท Microsoft กล่าวว่า Skydrive นั้นดีที่สุดเมื่อพวกเขาออกมาและกล่าวว่าผลิตภัณฑ์ประเภทนี้ไม่ใช่และไม่ควรใช้เพื่อจุดประสงค์ทางธุรกิจ

มีหลายพันเหตุผลว่าทำไมไม่ว่ามีเหตุผลเกินควรทำไม

เหตุผลทางกฎหมายที่ใหญ่ที่สุดนอกเหนือจากความเสี่ยงด้านความปลอดภัย(และข้อกำหนดการใช้งานซึ่งระบุว่าบุคคลที่สามสามารถเข้าถึงไฟล์ที่เป็นความลับได้ดังนั้นจึงไม่มีสิ่งใดที่เป็นความลับที่ควรเก็บไว้ในบริการดังกล่าวที่อิงกับผู้บริโภค ..เป็นความจริงที่มีบริการเช่น Dropbox ด้วย ให้ฉันถามสิ่งนี้ .. ไฟล์เหล่านั้นถูกเก็บไว้ที่ไหน? เซิร์ฟเวอร์เหล่านั้นอยู่ที่ไหน คุณสามารถมั่นใจได้ว่าด้วยการเสนอราคาต่ำสุดโทรหาสิ่งที่เรียกว่ากฎการส่งออกข้อมูลและกฎหมาย ... หากคุณมีไฟล์เล็ก ๆ เพียงไฟล์เดียว "รัฐบาลสหรัฐอเมริกาอาจถือว่าเป็นความเสี่ยงหรือความเสี่ยงที่อาจเกิดขึ้นกับความปลอดภัยของสหรัฐฯ" มีขนาดเล็กเท่ากับโครงร่างไฟฟ้าไปยังสถานที่สาธารณะ, โรงเรียน, โรงยิม, รหัสผ่านหรือชื่อผู้ใช้กับบัญชี Cisco ซึ่งคุณสามารถดาวน์โหลดซอฟต์แวร์ที่ถูก จำกัด การส่งออกและอื่น ๆ ) จนถึงเอกสารลับคุณกำลังฝ่าฝืนกฎหมายดังกล่าว คุณไปเข้าคุกคุณไม่ผ่านเลย .. ฉันเชื่อว่าตอนนี้จัดการโดย FTC และ Homeland Security ..

ข้อกำหนดการใช้งาน DB ระบุ (โดยทั่วไป) ว่าหากติดตั้งไว้ในพีซีธุรกิจ (Dropbox ถือว่าบุคคลนั้นเป็นเพราะบุคคลที่ติดตั้งบนพีซีธุรกิจรับประกันว่าพวกเขากำลังโดยการคลิกผ่าน TOU) ว่าบุคคลที่ "ได้รับอนุญาต" กำลังทำเช่นนั้น สำหรับ บริษัท ทั้งหมด .. ช่วงเวลา ... (ส่วนแรกไอออน Dropbox.com/terms)

สิ่งที่ทำให้ฉันไม่สามารถใช้สิ่งนี้นอกเซิร์ฟเวอร์และสภาพแวดล้อมการทำงานของฉันก็คือจริยธรรม ... คุณมีสินค้าอุปโภคบริโภคอย่าง Skydrive ที่มีตัวอักษรขนาดใหญ่พูดว่า "ไม่ต้องทำธุรกิจ .. อย่า! เพราะพวกเขาไม่ต้องการเสี่ยงข้อมูลของลูกค้า ระดับธุรกิจเพราะพวกเขารู้ว่ามันมีความเสี่ยงและจากนั้น Flippin Dropbox ที่ใช้คำทางกฎหมายในสัญญาของพวกเขาเช่นคำว่า "สิ่ง" ผู้ทำขนมเค้กทั้ง "เรื่องความปลอดภัย" และทำหน้าที่เหมือนไม่มีเรื่องใหญ่ (คุณต้องการ การสูญเสียกำไรและส่วนแบ่งที่มีค่าหรือไม่อาจไม่ ... ) ....

มันเป็นเรื่องใหญ่ .. ยิ่งกลุ่มความปลอดภัยขอร้องให้คุณและฉันทำตามวิธีปฏิบัติง่าย ๆ ยิ่งมีคอมพ์ขนาดใหญ่เช่นดรอปบ็อกซ์ออกมาและหาเงิน .. เพื่อผลกำไรทำตัวเหมือนมันไม่ใช่เรื่องใหญ่ ...

เกิดอะไรขึ้นถ้าธุรกิจของคุณเก็บหมายเลขบัตรเครดิตใบเล็ก ๆ และชื่อและวันหมดอายุไว้ ทีนี้บอกว่าพีซีที่ติดตั้งไคลเอนต์ดรอปบ็อกซ์นั้นคือ uhmm "เข้าสู่ .. " ผ่านทางความปลอดภัยของ Dropbox ... ตามฉันมา? Visa / Amex และอื่น ๆ บริษัท ธนาคารขนาดใหญ่ที่ได้รับการสนับสนุนจากรัฐบาล (เพราะมาตรฐานอุตสาหกรรมบัตรชำระเงิน (PCI) มาตรฐานบอกว่า .. นั่นคือใคร ... ) คุณจะสบายดี .. ได้รับสิ่งนี้ ... คุณอาจต้องการนั่งลง .. มูลค่า $ 500,000.00 ต่อเหตุการณ์ที่น่าตกใจ ... ก็เพียงพอแล้วที่จะทำให้ธุรกิจขนาดเล็กหรือขนาดกลางออกจากธุรกิจที่พวกเขาอยู่

วิธีเดียวที่จะหลีกเลี่ยงได้คือการเข้ารหัสข้อมูลในเครื่องโดยใช้ผลิตภัณฑ์เข้ารหัส PCI ที่ได้รับการรับรองก่อนที่จะไปที่ดรอปบ็อกซ์ซื้อสิทธิ์ใช้งานสำหรับอุปกรณ์ระยะไกลทั้งหมดดาวน์โหลดไฟล์ที่คุณต้องการ มัน .. (ไม่ฟังดูเหมือนไม่สนุกเลย ... ) (หรือเข้ารหัสข้อมูลในเครือข่ายเซิร์ฟเวอร์ของคุณและไคลเอนต์ที่เกตเวย์ ... )

ด้วยสิ่งเหล่านั้นสำหรับผู้ใช้ที่น้อยกว่า $ 20 (ประมาณ $ 11 สำหรับผู้ใช้ขั้นพื้นฐาน) คุณสามารถขอรับแผนซีรีส์ Office365 E นั่นคือ IS HIPAA, SOX, ISO และ PCI ที่ได้รับการรับรอง .. (Dropbox ซ่อนอยู่ในหน้านั้นระบุชัดเจน " ในเวลานี้ "พวกเขาไม่ใช่ .... )

ลองถามตัวเองดูสิว่ามันเล็ก แต่ในความคิดของคุณมันคุ้มค่ากับความเสี่ยงไหม? และคุณต้องการทำธุรกิจกับ บริษัท ที่ฉันคิดว่าทำตามขั้นตอนเบา ๆ หรือทำให้เบาความเสี่ยงที่เกี่ยวข้องกับการใช้ผลิตภัณฑ์ของพวกเขา ....

มันคุ้มค่ากับความเสี่ยงในอาชีพการงานของคุณหรือไม่หากคุณอยู่ในเทคโนโลยี คุณคิดว่าคุณมีงานทำหลังจากชื่อของคุณอยู่ข้างก้นและคุณทำข่าวหรือไม่? ในฐานะที่เป็น CTO ฉันสามารถให้สัญญากับคุณได้ว่าฉันจะไม่ได้ยินแม้แต่ข้อแก้ตัวที่อยู่เบื้องหลังฉันไม่เคยแม้แต่จะสัมภาษณ์ใครก็ตามในเทคโนโลยีที่มีการกระทำหรือการตัดสินใจของพวกเขาเอง ใช่เราทุกคนทำผิดพลาดซึ่งเป็นสาเหตุว่าทำไมงานของคุณในด้านไอทีคือการกำจัดความเสี่ยงไม่ว่าเล็กหรือใหญ่ที่สุดเท่าที่จะทำได้ .. ไม่เปิดรูหนอนและกรีดร้องให้อลิซ ... ) มันเป็นหายนะสำหรับ PR .. สำหรับธุรกิจ (หากคู่แข่งค้นพบและรั่วไหลว่าคุณเป็นใคร .. (อ้าปากค้าง) สิ่งที่คุณทำ .. และความรับผิดที่เพิ่มขึ้นในการจ้างใครบางคนเพราะพวกเขาอนุญาตให้บริการแบ่งปันไฟล์ที่ได้รับการยอมรับจากสาธารณชนและระบุว่าไม่ใช่ PCI, SOX , ISO

ดี .. สำหรับคุณที่จะตัดสินใจ ... มันคุ้มค่ากับอาชีพหรือไม่? คุ้มค่ากับการสูญเสียข้อมูล บริษัท หรือลูกค้าของคุณหรือไม่?

สำหรับฉัน .. มันไม่ใช่ ... ผู้บริโภคใช้สินค้าอุปโภคบริโภคไม่ใช่ธุรกิจ ... ช่วงเวลา


4

อัปเดต (1,5 ปีต่อมา): Dropbox อ้างสิทธิ์ในขณะนี้ว่าพวกเขาส่งข้อมูลผ่านโปรโตคอล SSL และเก็บไว้ใน AES-256-Containers พวกเขาไม่สามารถเข้าถึงตัวเองได้ (ไม่มีรหัสผ่าน)


2
การเรียกร้องนั้นกลายเป็นเรื่องโกหก wired.com/threatlevel/2011/05/dropbox-ftc
David Sykes

4

Dropbox เพิ่งยอมรับว่าพวกเขาไม่ได้ใช้ SSL สำหรับการถ่ายโอนข้อมูลเมตาระหว่างไคลเอนต์มือถือและเซิร์ฟเวอร์ของพวกเขา พวกเขาทำสิ่งนี้ตามวัตถุประสงค์ด้วยเหตุผลด้านประสิทธิภาพ พวกเขาไม่ระบุที่ใดก็ได้บนเว็บไซต์ว่าทำสิ่งนี้ คุณสามารถอ่านได้ที่นี่:

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop


2

ฉันคิดว่าพวกเขากำลังทำงานกับเวอร์ชันเพื่อให้ บริษัท ใช้งานภายในโดยมีความปลอดภัยมากขึ้น แต่ในขณะเดียวกันไฟล์นั้นไม่ได้เข้ารหัสบนเซิร์ฟเวอร์ดังนั้นคุณต้องเชื่อใจพวกเขา

นอกจากนั้นฉันไม่เห็นความเสี่ยงด้านความปลอดภัยอื่น ๆ ที่เฉพาะเจาะจงกับ Dropbox (เช่นการรั่วไหลของข้อมูล)


ไม่เป็นความจริง - Dropbox เข้ารหัสกลุ่มข้อมูลทั้งหมดที่เก็บอยู่บนเซิร์ฟเวอร์ อย่างไรก็ตามคีย์ได้รับการจัดการทั้งหมดโดย Dropbox และแชร์ข้ามบัญชีที่แตกต่างกัน มีปัญหาด้านความปลอดภัยอื่น ๆ อีกมากมาย google สำหรับ "Dropbox config.db" และอื่น ๆ (เนื่องจากคุณเขียนคำตอบนี้)
RichVel

1

หลายสิ่งขึ้นอยู่กับนโยบายของ บริษัท ของคุณ ถ้ามันเป็นเหมือนที่ฉันทำงาน - การพัฒนาทั้งหมดที่ฉันทำนั้นเป็นของโรงพยาบาลไม่ใช่ฉัน - แล้วฉันก็กังวลว่ามันจะเป็นวิธีที่ง่ายสำหรับทรัพย์สินทางปัญญาของ บริษัท ที่จะ "เดินออกไป"

มีระบบการจัดการเอกสารมากมายที่จะช่วยให้คุณตั้งค่าบางอย่างที่สามารถเข้าถึงได้ภายในหรือผ่านการเชื่อมต่อที่ตรวจสอบได้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.