Sicurezza su Dropbox, a rischio i dati personali?

Quando si parla di servizi per l’hosting di file “sulla nuvola”, la competizione ha raggiunto oggi livelli mai visti in precedenza. I tecnici di Intralinks, multinazionale che offre prodotti per lo storage sicuro dei dati a professionisti ed imprese, ha voluto mettere alla berlina Dropbox segnalando un paio di “lacune” piuttosto “scomode”.

Analizzando il traffico dati con Google Analytics ed i report generati da Google Adwords, Intralinks ha scoperto la presenza – nei resoconti prodotti delle due applicazioni web del colosso statunitense – una lunga serie di link facenti riferimento a documenti personali di utenti sconosciuti: modelli per la denuncia dei redditi, informazioni finanziarie, piani pensionistici e documenti di business.

Dopo lo stupore iniziare si è cercato di stabilire la provenienza di quei link appurando poi come la sorgente dei dati fossero servizi di hosting online come Dropbox e Box.

Il problema principale è che quando un utente, dopo aver aperto un documento, ad esempio utilizzando l’anteprima di Dropbox, fa clic su un link in esso presente, il server web del sito di destinazione ricevere molte informazioni tra cui anche l’URL di provenienza.
Questo meccanismo si chiama HTTP referer ed è utilizzato da tutti i server web per stabilire con quale client si ha a che fare. L’intestazione della richiesta HTTP, quindi, contiene tipicamente anche l’indriizzo completo della pagina web di provenienza.
Esaminando i referer rilevati da Google Analytics, quindi, i tecnici di Intralinks hanno potuto accedere a decine di documenti personali condivisi dagli utenti di Dropbox e Box.

Dropbox ha spiegato di essere già intervenuta per risolvere il problema ed ha suggerito, agli utenti che temessero per la riservatezza dei propri dati, di ricreare gli URL relativi ai link pubblicamente condivisi.

Intralinks ha potuto poi stabilire che molti utenti, sbagliando, anziché incollare i link ricevuti dagli utenti di Dropbox nella barra degli indirizzi del browser, li hanno inseriti nel motore di ricerca di Google passandoli così, inconsapevolmente, ad server di advertising dell’azienda fondata da Larry Page e Sergey Brin.
Ecco il perché della comparsa dei link facenti riferimento a risorse personali, condivise su Dropbox e Box, su un servizio come Google Adwords.

La versione free di Dropbox non consente di scegliere con quali utenti condividere un documento, un file od un’intera cartella (questa possibilità è appannaggio esclusivamente degli utenti business di Dropbox).
Il consiglio è semplice: è bene affidarsi a servizi che consentano di stabilire esattamente con chi “mettere a fattor comune” un documento, non condividere per troppo tempo le risorse utilizzando link “pubblici”, eliminare le condivisioni quando non sono più necessarie, non mescolare mai – nello stesso account – materiale di lavoro con documenti personali.