Dropbox hace una bien!

No me malinterpreten, Dropbox es genial, y venía muy bien en el 2010 pero en el 2011 metió la pata de casi todas las formas posibles. Para los que están cortos de memoria hago una síntesis:

  • 2011-04-07: Dropbox authentication: insecure by design: un post que habla de la infinita validez del archivo config.db. Suficiente para estar autentificado en Dropbox. Como una session pero sin vencimiento ni siquiera cambiando la password. (solo sacando el host de la lista de hosts permitidos)
  • 2011-04-12: Dropbox sacrifices user privacy for cost savings: Alguien se dio cuenta que el cliente de Dropbox hasheaba los archivos y enviaba los hashes antes de subirlos, si algún hash ya existía, ese archivo no lo subía. De esta forma ahorraba bandwidth y espacio. Esto se llama deduplication, y se pudo probar porque pudieron hacer aparecer un archivo en un Dropbox sin subirlo con esa cuenta. (Aclaro que el cliente de Dropbox no es open source). Google seguramente lo hace, pero no lo podemos comprobar, porque no ahorra en bandwidth, pero seguramente en espacio. El problema es que esto contradecía con lo vendía Dropbox (que ellos no podían acceder a la información porque estaba cifrada (y la key era la clave del usuario))
  • 2011-04-21: Privacy, Security & Your Dropbox (Updated): Dropbox actualiza su EULA para cambiar lo anterior. Aparecen muchos posts en Internet diciendo que Dropbox había mentido todo este tiempo acerca del cifrado de los archivos.
  • 2011-05-11: La Federal Trade Commission (parecido a lo que acá sería la Subsecretaría de Defensa del Consumidor) presento un pedido de investación y una querella a Dropbox. Con esto empezaban a tener problemas legales.
  • 2011-05-13: Dropbox Lied to Users About Data Security, Complaint to FTC Alleges. Con este artículo de wired tomó aun más popularidad todo lo sucedido. De más está decir que llegó a reddit y slashdot.
  • 2011-06-20: Yesterday’s Authentication Bug: Este fue el papelón. Los developers de Dropbox trabajando en production introdujeron un bug permitía acceder a cualquier cuenta con cualquier contraseña. Cuatro horas después se dieron cuenta, y cinco minutos después lo fixearon. Yo me enteré por Tecnogeek. Este fue lejos el papelón más grande de Dropbox y uno de los más grandes en la historia de online services (me vienen a la mente el bug de gmail del 2005, las caidas de varios días del msn en el 2004 y 2005)
  • 2011-06-22: Un usuario le hace juicio a Dropbox por invasión de la privacidad y negligencia.
  • 2011-07-01: Change to our policies (updated): Dropbox actualizó su ToS y mandaron un email avisando. Grave error mandar un mail. La mayoría de los usuarios no leyó nunca ningún ToS y no era un buen momento para Dropbox que todos sus usuarios lean el ToS. No porque tenga algo malo, era parecido al de Gmail pero hay mucha terminología legal que es confusa y eso llevó a una discusión en los comentarios del post y puteadas.

Ahora Dropbox y Apple se sumaron al Digital Due Process, reclutados por la EFF  en la campaña “Who Has Your Back” para actualizar la Electronic Communications Privacy Act. La ECPA es una ley de 1986, anterior a la web y a la explosión comercial de la telefonía móvil que protege la privacidad de la información que pasa por cables, en sentido que no te pueden ‘pinchar la línea’ sin un fallo judicial.  Ya después de unos años la ley quedó obsoleta y los fallos recientes hicieron que esta ley quede aún más obsoleta. Los e-mails no están protegidos por la ley. Incautar una computadora o que el gobierno lea toda la información que pasa por tu celular sin una orden de registro no violan esta ley. Dropbox y Apple se suman a la lista de empresas que quieren actualizar la ECPA para que proteja la información de sus usuarios que ellos guardan. Kudos a Dropbox!

PD: si no tienen cuenta de Dropbox, probablemente no se la quieran crear después de leer este post, pero en caso contrario, usen el siguiente link que está mi account como referal (me dan más espacio):

http://db.tt/vJiigmg

No recomiendo poner información muy sensible _en ningún lado_ sin cifrar, y Dropbox no es la excepción.

One Response

  1. A.H.D.
    A.H.D. 2013-02-11 at 1:27 AM | | Reply

    Javier: Desde hace poco frecuento tu blog y lo encuentro interesante.Me interesaria que profundices en la explicacion de lo que es y como funciona un hash a nivel de uso en cifrado de informacion a fin de poder comprender mas el concepto. Desde ya, gracias. A.H.D.

Leave a Reply