XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT XİDMƏTİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ MƏRKƏZİ

İnsident bildir

Məqalələr > Dropbox məxfiçiliyə riayət edirmi ?!

22 Yan 2015

Dropbox – Dropbox Inc. şirkətinə məxsus, istifadəçilərə öz məlumatlarını “bulud” (cloud) serverlərdə saxlamaq və digər istifadəçilərə internetdə onlarla paylaşmaq imkanı yaradan verilənlərin saxlanılması yeridir.

Son zamanlar belə bir təəssürat yaranır ki, istifadəçilərinin məlumatlarının sındırılmadığı İnternet-servis artıq mövcud deyildir. Hazırda yüzlərlə istifadəçilərinin şifrələri oğurlanan Dropbox “bulud”(cloud) saxlanma xidmətinin növbəsi gəlib çatmışdır, hərçənd iddia edilir ki, bundan daha çox oğurlanmış şifrə dərc edilə bilər.1Xüsusilə, onun yeddi milyona yaxın akkauntu sındırıla bilər ki, bu da məlumatlarını bu platformada saxlayan istifadəçilərin məxfiliyi üçün ciddi təhlükə yaradır. Bu bəyanatlar Pastebin – Dropbox-un yeddi milyon şifrəsini əldə etməsi ilə öyünən və təqribən, buna sübut olaraq onların kiçik bir hissəsini saytda dərc etmiş İT-təhlükəsizliyi üzrə xakerlər və mütəxəssislər tərəfindən istifadə edilən mətnlərin mübadiləsi üçün sayt – servisinin istifadəçisindən daxil olub. Öz rəsmi bloqunda Dropbox servislərinin sındırılması faktını inkar edərək və şifrələrin digər servislərdən oğurlandığını, və sonra faylların saxlanması platformasına giriş üçün istifadə edildiyini bəyan edərək, dərhal cavab verib. Dropboxisə öz növbəsində istifadəçilərini müxtəlif servislərdə eyni paroldan istifadə etməməyə və ikipilləli avtorizasiya istifadə etməyə çağırır.

Azərbaycanda da Dropbox-un xidmətlərindən kifayət qədər istifadə olunur. Bu aktivlik istər dövlət istərsə də özəl sektorda artmaqdadır. Kompyuter İnsidentlərinə qarşı Mübarizə Mərkəzi olaraq Dropbox-un nə dərəcədə təhlükəsizlik siyasətinə və məxfiçiliyə riayət etməsi haqda qısa araşdırma apardıq. Araşdırma zamanı bəzi qaranlıq qalan məqamlarla rastlaşdıq. Belə ki, Dropbox şirkəti bildirir ki, onun əməkdaşları istifadəçilərinin şifrələnmiş fayllarına daxil olmaq imkanına malik deyillər. Rəsmi şəkildə bildirirlər ki, “Bütün fayllar AES-256 ilə şifrələnib və şifrəniz olmadan açıla bilməz”. Bir müddət öncə aşkar edilmişdir ki, bu heç də belə deyil. Məlum oldu ki, Dropbox-un əməkdaşları zəruri hesab etdikdə faylların şifrəsini aça bilərlər. 13 aprel 2011-ci il tarixdə cümlənin ikinsi hissəsi məlumat bölməsindən çıxarılmışdır. Bundan əlavə, məlumat bölməsinin digər formulları dəyişdirilmişdir. Köhnə formul: “Dropbox şirkətinin əməkdaşları istifadəçi fayllarına giriş imkanına malik deyil, və hər hansı problem yarandığı halda, onlar yalnız metaməlumatları görə bilir (məzmun istisna olmaqla, faylların adı, faylların ölçüsü və s.)”/Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents). Yeni formul: Dropbox şirkətinin əməkdaşlarına istifadəçilərin öz qovluqlarında saxladığı faylların məzmununa baxmaq qadağandır, onlara yalnız faylların adı və yolları kimi metaməlumatlara baxmağa icazə verilir”/Dropbox employees are prohibited from viewing the content of files you store in your Dropbox account, and are only permitted to view file metadata (e.g., file names and locations). Həmçinin mətnin izahı da əlavə edilib: guya bir çox onlayn servislərdəki kimi, Dropbox şirkətinin “az sayda əməkdaşları” istifadəçi məlumatlarına daxil ola bilər və onlar bunu məxfilik siyasətində təsvir edilmiş nadir hallarda edir. 

Digər bir araşdırma da növbəti şübhələrimizə son qoydu. Belə ki, Dropbox-un əməkdaşları bildirirlər ki, onlara yönləndirilən sorğular düzgün rəsmiləşdirildikdə və bütün qanunvericilik tələbləri yerinə yetirildikdə məlumatları xüsusi xidmət orqanlarına təqdim etməyə məcburdurlar. Dropbox bulud (cloud) saxlanmanın rəhbərliyi 11 sentyabr tarixində şirkətin işinin şəffaflığı üzrə hesabat dərc etmişdir. Gələcəkdə hər altı aydan bir Dropbox öz istifadəçilərinə hökumət orqanları ilə qarşılıqlı əlaqələri haqqında hesabat verəcək. Dropbox şirkətinin vəkili Bart Folkmer şirkətin bloqunda bildirib ki, 2014-cü ilin ilk 6 ayı ərzində Dropbox-a istifadəçilərin məlumatlarının hüquq-mühafizə orqanlarına açıqlanması haqqında 268 sorğu yönləndirilmişdir. Bundan əlavə, milli təhlükəsizliyə dair 0-dan 249-a qədər sorğu alınıb. Hesabatda həmçinin göstərilir ki, Dropbox-a 120 axtarış orderi göndərilib. Şirkət müstəntiqlərə zəruri məlumatları təqdim etməklə 103 sorğunu təmin edib. Qeyd edək ki, 37 sorğu xarici hüquq-mühafizə orqanlarından və xüsusi xidmət orqanlarından daxil olub. Folkmerin sözlərinə görə, şirkət sorğular düzgün rəsmiləşdirildiyi və bütün qanunvericilik tələbləri yerinə yetirildiyi halda müstəntiqlərə zəruri məlumatları təqdim etmək məcburiyyətindədir. Müstəntiqlər istintaqın aparılması üçün zəruri olan məlumatlardan daha çox məlumatın verilməsini xahiş etdiyi halda, Dropbox şirkətində bu sorğuya etiraz etməyə çalışırlar. Hesabatdan göründüyü kimi, məlumatların verilməsinə dair sorğuların sayı həmin səviyyədə qalmaqdadır. Qeyd etmək lazımdır ki, hal-hazırda xüsusi xidmət orqanları şirkətdən öz istifadəçilərini onlar barədə istintaq xarakterli hərəkətlərin aparılması haqqında xəbərdar etməməyi xahiş edir.

 

1.