Dropbox ha recentemente annunciato un aggiornamento ai termini del servizio per questioni di sicurezza, spiegando che verranno forniti agli organi governativi i propri file decriptati in caso di richiesta. Fino ad ora Dropbox ha pubblicizzato le proprie funzionalità facendo leva sui file criptati, non accessibili a terze persone, e sul livello di sicurezza:

Tutte le trasmissioni di dati del file avvengono attraverso un canale cifrato (SSL), tutti i file conservati sui server Dropbox sono criptati (AES-256), gli impiegati Dropbox non possono accedere ai file degli utenti e la risoluzione dei problemi su un account avviene solo tramite l’accesso ai metadata dei file (nome dei file, dimensioni, ecc, ma non al contenuto).

Chiunque abbia provato ad approfondire gli aspetti legati a questo cambiamento, non ha ottenuto informazioni precise: non ci sono dettagli sulle procedure messa in atto da Dropbox o come vengano criptati i file per prevenire accessi non autorizzati. Ciò che sappiamo è che ora Dropbox è in grado di decriptare i file a nome degli organi governativi, andando contro le promesse fatte.

Dropbox ha mai avuto realmente un meccanismo di controllo sugli impiegati che impedisse loro di accedere ai file? Su Internet si è diffuso il “panico privacy” e molti temono che chiunque in Dropbox, o chiunque in grado di entrare sui server del servizio, sia in grado di accedere a ciò che carichiamo. Non dimentichiamoci che anche grosse compagnie come Google, con politiche di sicurezza molto severe e controllate, hanno avuto in passato problemi con impiegati che hanno abusato della propria posizione, quindi una start up come DropBox suscita più di una perplessità a riguardo.

Mentre la discussione si scalda tra i blog di settore, giunge una risposta ufficiale da DropBox e vado a tradurvene alcuni stralci:

Chiunque lavori a Dropbox è conscio del fatto che il nostro bene più importante è la fiducia dei nostri utenti. Dropbox viene utilizzato da milioni di utenti ogni giorno, inclusi i nostri amici e familiari, e promettiamo loro – e a tutti voi – che lavoreremo duro per rendere i vostri dati più importanti sicuri e privati.

I responsabili del servizio partono quindi ad analizzare punto per punto i cambiamenti:

Abbiamo cambiato i nostri Terms of Service per essere più user friendly e trasparenti: quando guardate i nostri termini del servizio, è utile dare un’occhiata anche a quelli di altre compagnie come Google, Apple, Skype e Twitter. Credo che li troverete molto simili e molte delle compagnie di Internet hanno gli stessi obblighi legali. Quindi, se queste cose sono standard, abbiamo fatto cambiamenti ai nostri termini? Dovevamo essere più user friendly e trasparenti riguardo le nostre policy. Noterete che i nostri Terms of Service (TOS) delineano meglio le situazioni specifiche in cui potrebbero essere rivelati i dati degli utenti. Sentivamo che il nostro vecchio linguaggio TOS fosse troppo ampio e desse a Dropbox dei diritti che non volevamo. Vorremmo avervelo spiegato quando abbiamo effettuato i cambiamenti, ma sfortunatamente non l’abbiamo fatto e siamo dispiaciuti che ciò abbia risvegliato preoccupazioni riguardo alle nostre promesse di mantenere i vostri file privati.

Per quanto concerne le richieste governative, Dropbox spiega:

Ci sono state fatte molte domande a riguardo delle richieste governative di dati. Non riceviamo molte di queste richieste – circa una al mese durante l’anno scorso su 25 milioni di utenti. Si tratta di meno di una per un milione di account. Come tutte le compagnie U.S., dobbiamo seguire la legge statunitense. Ciò significa che il governo ogni tanto ci chiede (e lo fa anche con altre compegnie come Apple, Google, Skype e Twitter) di girare informazioni su un utente in risposta ad una richiesta che la legge di obbliga ad accontentare. Quando riceviamo una richiesta del governo, non ci limitiamo a dar via le vostre informazioni o file. Il nostro team legale vaglia tutte le richieste prima di prendere una decisione. L’esiguo numero di richieste ricevute riguardavano particolari individui posti sotto indagine. Se ricevessimo una richiesta troppo vaga o che non rispetta la legge, combatteremo per i nostri utenti e per il loro diritto alla privacy.

Questo dovrebbe chiarire i dubbi di chi teme per la propria privacy. Per chi non si fida degli impiegati Dropbox, invece, la compagnia spiega:

Come la maggior parte dei servizi online, abbiamo un numero esiguo di dipendenti che possono accedere ai dati degli utenti quando legalmente obbligati a farlo. Si tratta di un’eccezione, non della regola. Abbiamo policy molto rigide e il controllo dell’accesso tecnico che proibisce agli impiegati l’intrusione se non queste rare eccezioni. In aggiunta, utilizzamo un numero di misure di sicurezza fisiche e virtuali per proteggere le informazioni dell’utente dall’accesso non autorizzato.

Il pericolo privacy sembra quindi scampato, stando alle promesse di Dropbox. Per qualsiasi altra informazione, date un’occhiata alle spiegazioni dettagliate.

Problemi di privacy con Dropbox: discussioni e risposta ufficiale é stato pubblicato su Downloadblog.it alle 15:30 di giovedì 21 aprile 2011.