คณะกรรมการการค้าสหรัฐ (FTC) ออกมาแฉ Dropbox โกหกผู้ใช้เรื่องระบบความปลอดภัยและการเข้ารหัสข้อมูล เพื่อให้ตัวเองได้เปรียบกว่าคู่แข่ง ผู้ใช้ Dropbox งานเข้าแล้วสิ
Dropbox บอกกับผู้ใช้ทุกคนว่าไฟล์ที่เก็บไว้ในดร๊อปบ๊อกซ์จะถูกทำการเข้ารหัสทั้งหมด ไม่ว่าใครแม้แต่พนักงานของตัวเองก็เข้าไปดูเนื้อหาของไฟล์ต่างๆไม่ได้ แต่จากการเปิดเผยของ Christopher Soghoian นักศึกษาปริญญาเอกพบว่าจริงๆแล้ว Dropbox สามารถเห็นเนื้อหาของไฟล์ที่ฝากเอาไว้ได้ ทำให้ผู้ใช้เกิดความเสี่ยงที่เกิดจากเนื้อหาเนื้อหาของไฟล์ เช่น พนักงานที่ไม่ดีของดร๊อปบ๊อกซ์เอาข้อมูลลูกค้าออกมาเผยแพร่ หรือการถูกตรวจตราจากหน่วยงานของรัฐ หรือบริษัทที่จับตาเกี่ยวกับเรื่องการละเมิดลิขสิทธิ์ต่างๆ ทาง Dropbox เองก็เพิกเฉยต่อคำกล่าวหานี้ โดยส่งอีเมลล์สั้นๆกลับมาที่ wired.com ว่า “คนหลายล้านคนใช้บริการของเราทุกๆวัน และเราพยายามทำงานอย่างหนักเพื่อรักษาข้อมูลของพวกเค้าให้ปลอดภัย” ซึ่งปัจจุบันมีผู้ใช้งาน Dropbox กว่า 25 ล้านคนทั่วโลก
การเปลี่ยนข้อความ security statements ในเวปของ Dropbox นี่เองที่ทำให้ผู้ใช้ รวมถึงผู้เชี่ยวชาญด้านความปลอดภัยสับสน นี่จึงเป็นสาเหตุให้มีข้อกล่าวหาต่างๆขึ้นมา ในวันที่ 16 เมษายนที่ผ่านมา Dropbox ได้มีการเปลี่ยนแปลง website claims ข้อความเกี่ยวกับด้านความปลอดภัยโดยตัดข้อความ “inaccessible without your account password” ด้านท้ายออก ถ้าพิจารณาดูดีๆแล้วข้อความที่ตัดออกไปมีความสำคัญมากทีเดียว เพราะ Dropbox ใช้การวิเคราะห์ไฟล์ของผู้ใช้ก่อนอัพโหลด โดยวิธีที่เรียกว่า hash เพื่อช่วยประหยัดพื้นที่เก็บข้อมูล (วิธีนี้เหมือนการสร้างลายนิ้วมือให้กับไฟล์นั้นๆ) ถ้าผู้ใช้คนอื่นๆได้เคยอัพไฟล์นี้ไปยัง Dropbox แล้ว คุณก็ไม่สามารถอัพโหลดไฟล์นี้ซ้ำได้ คุณก็แค่เพิ่มไฟล์นั้นเข้าไปในแอคเค้าท์ของคุณโดยไม่ต้องอัพโหลด ซึ่งกุญแจในการเข้ารหัสและถอดรหัสไฟล์นั้นอยู่ในเงื้อมือของ Dropbox ไม่ได้อยู่ที่เครื่องของผู้ใช้ ด้วยสถาปัตยกรรมระบบที่ออกมาแบบนี้นั่นหมายความว่าพนักงานของ Dropbox สามารถมองเห็นเนื้อหาต่างๆที่ผู้ใช้เก็บไว้ได้ วันดีคืนนี้ถ้ามีหมายจากหน่วยงานของรัฐบาลขอดู ก็สามารถถอดรหัสนำข้อมูลไปแสดงให้ดูได้เลย
ในหน้าช่วยเหลือบนเวปของ Dropbox ได้บอกว่ามีการควบคุมการเข้าถึงระบบหลังบ้านเป็นอย่างดี ใช้ทั้ง physical and electronic security measures รวมถึงการบังคับใช้ policy ที่เข้มงวดไปพร้อมๆกัน พนักงานไม่สามารถเข้าถึงไฟล์ของผู้ใช้โดยไม้ได้รับอนุญาต ยกเว้นเมื่อมีลูกค้าร้องขอให้ช่วยแก้ปัญหาถึงจะมีสิทธิ แต่สิทธินั้นก็จำกัดแค่ระดับ Metadata (ชื่อไฟล์, ประเภทไฟล์, ขนาดของไฟล์, ตำแหน่งที่เก็บไฟล์ แต่ไม่สามารถเข้าไปดูเนื้อหาได้)
นอกจากนี้ Dropbox ยังทำให้ผู้ใช้งานผ่านระบบมือถือเข้าใจผิดด้วย โดยอ้างว่าผู้ใช้ Dropbox สามารถ encrypt ไฟล์ผ่านการเชื่อมต่อแบบ HTTPS ระหว่างอุปกรณ์ของผู้ใช้กับเซอเวอร์ของ Dropbox แต่ในความเป็นจริงแล้วอุปกรณ์มือถืือไม่สามารถ encrypt ได้ ในขณะที่คู่แข่งของ Dropbox อย่าง SpiderOak และ Wuala ที่ให้บริการแบบเดียวกัน พนักงานไม่สามารถเข้าถึงเนื้อหาของขัอมูลได้เพราะ encryption keys จะถูกเก็บไว้ในเครื่องของลูกค้า นั่นหมายความว่าทั้งสองเจ้ามีค่าใช้จ่ายในการเพิ่มพื้นที่เก็บข้อมูลมากกว่า เพราะพวกเค้าไม่ได้ตรวจจับข้อมูลทีมีเนื้อหาซ้ำซ้อนกันจากผู้ใช้
Soghoian ได้ส่งเรื่องร้องเรียนทั้งหมดนี้ให้กับ FTC เพื่อบังคับให้ Dropbox ออกมาชี้แจงแถลงไขเรื่องราวทั้งเรื่องเวปไซท์ให้ลูกค้าทราบอย่าแจ่มแจ้ง รวมถึงการคืนเงินลูกค้ากลุ่ม “Pro” ที่เสียเงินค่าบริการ และห้ามบริษัทเขียนข้อความที่อาจทำให้ลูกค้าเข้าใจผิดได้
[youtube http://www.youtube.com/watch?v=7QmCUDHpNzE&w=480&h=390]VIA wired