Sorry, Dropbox, ich traue dir immer noch nicht

Siehe Update am Ende des Beitrags mit Kommentar von Dropbox unterstützen.

Im Sommer habe ich mein Dropbox-Konto gelöscht. Das war nicht etwas, was ich im Zorn oder in Eile getan habe. Stattdessen war es das Ergebnis einer Reihe von Sicherheitsfehlern, die mich schließlich dazu brachten, mein Vertrauen in Dropbox zu verlieren.

In diesem Juni-Ausfall verursachte eine Dropbox-Code-Aktualisierung die Sicherheit, die dem gesamten cloudbasierten Dateispeichersystem zugrunde liegt, aufzubrechen. Mindestens vier Stunden lang konnte sich jeder bei jedem beliebigen Dropbox-Konto anmelden. Einige Konten wurden kompromittiert. Dropbox sagt, dass die Zahl “weniger als hundert” war, aber es gibt keine Weise, diese Aussage zu überprüfen.

Diese Woche, widerwillig, habe ich ein neues Dropbox-Konto erstellt. Meine Teamkollegen in einem neuen Arbeitsprojekt nutzen es für seine Bequemlichkeit, und ich kann es mir nicht leisten, kein Teamplayer zu sein.

Um das neue Konto einzurichten, habe ich Ninite verwendet, um die Dropbox App für Windows zu installieren. Ich habe eine andere E-Mail-Adresse dieses Mal um, eine, die ich noch nie mit Dropbox verwendet hatte. Ich habe meine Kontoinformationen in der Dropbox-App eingegeben, einschließlich eines starken Kennworts, das ich mit einer separaten App erstellt habe. Nach dem Durchlaufen der kurzen Konfiguration war ich bereit, mit dem Synchronisieren meiner eigenen Dateien und dem Empfangen von gemeinsam genutzten Dateien von meinen neuen Partnern zu beginnen.

Und dann, ein paar Minuten später, bekam ich eine E-Mail von Dropbox mit dieser Begrüßung

Wie fröhlich! Wie freundlich! Wie … falsch.

Ich reagierte nicht auf eine Einladung von jedem, dieses Konto zu erstellen. Ich kenne die Person nicht, deren Name auf dieser Botschaft steht. Es ist ein häufig genug Name, aber eine gründliche Suche meiner E-Mail-Posteingang zeigt keine solche Einladung (noch irgendeine andere E-Mail für diese Angelegenheit) von jedem, der diesen Namen. Ich habe eine LinkedIn-Verbindung mit jemandem mit dem gleichen Namen, aber wir haben niemals E-Mails ausgetauscht, und wir kennen uns nicht im wirklichen Leben.

Also, hat diese Person bekommen eine entsprechende E-Mail von Dropbox Ankündigung, dass ich gerade seine Einladung angenommen hatte? Wahrscheinlich.

Und das betrifft mich.

Dropbox verwendet ein Überweisungsmodell, um zu wachsen. Wenn Sie Einladungen an Ihre Freunde senden und neue Dropbox-Konten erstellen, erhalten Sie zusätzlichen freien Speicherplatz. Es gibt nichts falsch mit diesem Geschäftsmodell, aber wenn du gehst, eine soziale Strategie zu verwenden, um einen Service zu wachsen, der von sicheren Dateitransfers abhängt, musst du lieber deine Back-End-Prozesse heruntergeknickt haben.

Und Dropbox nicht. Irgendwo auf dem Rücken wurden ihre Systeme verwirrt. Was sonst auf dem Dropbox-Ende ist verwirrt? Ich habe keine Möglichkeit zu wissen.

Als ich Dropbox im Juli fallen ließ, zitierte ich einen Post vom Dropbox CTO, der sagte: “Das hätte nie passieren können. Wir überprüfen unsere Kontrollen und wir werden zusätzliche Schutzmaßnahmen implementieren, um zu verhindern, dass dies wieder passiert. “Meine Antwort?

Es wird mehr als nur Versprechen von “zusätzlichen Garantien” zu nehmen, um den Zweifel, dass ein solcher Fehler begeistert zu löschen. Mindestens muss Dropbox eine gründliche Sicherheits-Audit von einer unabhängigen Gruppe haben, um sicherzustellen, dass es die Prozesse vorhanden ist, um diese Versprechen zu sichern.

Ich sehe keinen Hinweis darauf, dass das notwendige Sicherheitsaudit jemals passiert ist.

Eine Nachricht, die ich gestern an Dropbox gesendet habe, um eine Erklärung für die geheimnisvolle E-Mail zu stellen, ist unbeantwortet. Es ist nicht einmal anerkannt worden.

Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundes-Chief Information Security Officer, Sicherheit, Pentagon für Cyber ​​kritisiert -Notfall Reaktion durch die Regierung Watchdog

Dies ist nicht, wie ein vertrauenswürdiges Unternehmen tätig ist.

Da meine neuen Teamkollegen Dropbox verwenden, habe ich nicht die Möglichkeit, den Dienst zu beenden. Aber Sie können wetten, dass ich extrem vorsichtig damit sein werde, und ich sicherlich nicht teilen oder sync alles, was entfernt ist vertraulich.

Aktualisieren, 28-Oct 9:00 AM Pacific. Nach fast genau 24 Stunden antwortete Dropbox auf meine Supportanfrage mit folgendem Hinweis

Hallo Ed

Der Grund, dass Sie diese Empfehlung erhalten E-Mail ist, weil jemand Ihre E-Mail-Adresse zu Dropbox an einem gewissen Punkt in der Vergangenheit eingeladen. Auch wenn die Einladung es nicht zu Ihnen geschafft hat, erinnerte sich das System an die Überweisung und verlieh Ihnen und der Person, die Sie den zusätzlichen Platz verwendete.

Auch wenn Sie nicht wissen, die Person, diese keine keine Dateien oder Informationen an die Einladung.

Ich bin nicht beruhigt, vor allem, wenn die ursprüngliche E-Mail spezifisch sagte, ich hatte “akzeptiert — — Einladung.” Ich habe nicht, und wie der Support-Agent merkt, kann jeder “einladen” jemand anderes.

Als Test habe ich einfach “eingeladen” mich zu Dropbox beitreten, mit einer sauberen E-Mail-Adresse, die ich vor kurzem eingerichtet. Ohne jemals die E-Mail-Einladung zu sehen, habe ich dann diese Adresse verwendet, um ein Dropbox-Konto einzurichten. Sure genug, wurde ich sofort benachrichtigt, dass das neue Konto mit dieser Adresse eingerichtet worden war, obwohl ich nie erlaubte die Verwendung von meinem Namen oder reagierte auf die Einladung.

Wie ich bereits sagte, möchte ich glauben, Dropbox, wenn sie mir sagen, meine Dateien sind absolut sicher, aber das ist nur ein unannehmbar schlampig Teil der ersten Anmeldung-Workflow.

Update 2: Als Reaktion auf Kommentare in der Talkback-Abschnitt unten kontaktiert Ninite Mitbegründer Patrick Swieskowski, der bestätigt, dass Ninite keine Affiliate-Codes mit Dropbox: “Ninite bekommt nur die einfachen Installateur direkt aus Dropbox, bestätigt seine digitale Signatur, Und es läuft leise mit dem Schalter / s.Es gibt keine Affiliate-Codes oder so ähnlich.

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

White House ernennt ersten Chief Information Security Officer

Pentagon kritisiert für Cyber-Notfall-Reaktion durch die Regierung Watchdog