แฉ Dropbox โกหก! ไม่ได้เข้ารหัสกับไฟล์ที่อัพโหลด

By: pawinpawin
Writer
on 14 May 2011 - 07:33 Tags:
Topics: 
Security
Dropbox
Node Thumbnail

เชื่อว่าหลายคนคงจะใช้บริการฝากไฟล์ออนไลน์ที่ใช้งานง่ายและมีโปรแกรมให้ใช้หลายแพลตฟอร์มอย่าง Dropbox มาวันนี้คุณอาจเปลี่ยนใจเลิกใช้ไปเลยก็ได้

Christopher Soghoain นักวิจัยด้านความปลอดภัย ได้ทำการร้องต่อคณะกรรมการด้านการค้าของสหรัฐหรือ FTC ว่า Dropbox นั้นหลอกลวงต่อผู้ใช้ที่ทำการเข้ารหัสกับข้อมูลที่อัพโหลด โดยเขาพบว่า ไฟล์ที่เคยมีอยู่แล้วของผู้ใช้รายอื่นบนเซอร์เวอร์ของ Dropbox นั้นจะไม่ได้ถูกอัพโหลดจริงๆ แต่อย่างใด แต่จะถูกลิงก์ไปแทน ซึ่งหมายความว่า Dropbox นั้นสามารถเข้าถึงข้อมูลของผู้ใช้ได้โดยง่าย

Soghoain นั้นคิดว่าวิธีนี้ไม่ยุติธรรมอย่างยิ่งโดยเฉพาะต่อผู้ใช้ที่จ่ายเงินให้กับบริการฝากไฟล์ จนบัดนี้ยังไม่มีคำชี้แจงใดๆ จาก Dropbox

ที่มา: Wired

Get latest news from Blognone

Comments

By: mapkung14
Windows
on 14 May 2011 - 07:47 #288754

ใช้วิธีนี้เลย - -"

By: i-present
ContributorAndroidUbuntuWindows
on 14 May 2011 - 07:51 #288755

กำลัง งงว่าแล้วเขารู้ได้ไงว่าเรามีไฟล์อยู่ที่ไหน ?

By: puri on 14 May 2011 - 07:57 #288756

ผมลองอ่านต้นฉบับของ Wired แล้วก็ blog ของนาย Soghoain (http://paranoia.dubfire.net/2011/04/how-dropbox-sacrifices-user-privacy-for.html) แล้วก็ไม่เข้าใจเท่าไรครับ

คือถ้าไฟล์สองไฟล์มันเหมือนกันทุกประการ (เข้าใจว่า dropbox ใช้ hash มาเทียบอยู่แล้ว) แล้ว link ไฟล์ที่ users สองคนมี (hash) เหมือนกันทุกประการไว้ด้วยกัน มันอาจจะผิดที่เขียน privacy policy ผิด แต่มันจะไม่ปลอดภัยยังไงครับ (ยกเว้นเสียว่าเราจะหลอก dropbox ได้ว่าเราจะ upload ไฟล์ที่อยากขโมยขึ้นไป ด้วยการสร้าง hash ปลอม (เป็นไปได้ยากในทางปฏิบัติ) ฯลฯ)

By: KavkaZ
ContributorAndroidUbuntuWindows
on 14 May 2011 - 08:18 #288757 Reply to:288756
KavkaZ's picture

แปลว่า dropbox รู้ทุกอย่างว่าเราอัพโหลดอะไรไป ถ้าอัพไฟล์ผิดกฎหมายก็ซวย โดนจับง่าย ๆ เลย

ลายเซ็นยาวเกินไปครับ

By: wiennat
Writer
on 14 May 2011 - 08:23 #288758 Reply to:288756

คาดว่าก่อน dropbox จะอัปโหลดไฟล์ จะตรวจสอบว่าเคยมีอยู่แล้วบนเซิฟเวอร์รึเปล่าด้วยการเทียบ hash ของไฟล์ ถ้ามีอยู่แล้วจะลิงค์ไปที่ไฟล์นั้นแทนที่จะอัปโหลดจริงๆ

แต่ dropbox บอกว่าทุกไฟล์จะถูกเข้ารหัสด้วย AES-256 เพื่อรักษาความลับ แต่เราไม่รู้ว่าการเข้ารหัสนั้น dropbox ใช้อะไรเป็น key ถ้าเป็น key เฉพาะบุคคล ก็น่าจะไม่สามารถใช้ร่วมกับของคนอื่นได้

จริงๆ dropbox อาจจะเข้ารหัสไฟล์จริงแต่เก็บ hash เอาไว้ก็ได้ แต่ยังไงก็ดีมันก็ไม่พ้นกับข้อสรุปที่ว่า dropbox มี key ที่ใช้ในการถอดรหัสไฟล์ของเรา และการที่ dropbox นั้นมี key ที่ใช้ถอดรหัส ก็หมายความว่าพนักงานของ dropbox สามารถเข้าถึงไฟล์ของเราได้ทุกไฟล์หากต้องการ

onedd.net

By: puri on 14 May 2011 - 09:51 #288779 Reply to:288758

ผมไม่รู้ว่า Dropbox implement ระบบ key ยังไงนะครับ แต่ไม่จำเป็นว่าจะใช้ key ร่วมกันไม่ได้ มีระบบ asymmetric key ที่แบ่งเป็น กลุ่ม ๆ ครับ เช่น ไฟล์หนึ่งเข้ารหัสด้วย key ที่สร้างจากผู้ใช้สองคน เป็นค้น

แล้วถ้า key ของเราสร้างจาก username, password ยังไง dropbox ก็ต้องมีเก็บไว้อยู่แล้วนิครับ อย่าง Google ก็ต้องสามารถเข้าถึงทุกอย่างที่เราเก็บไว้ได้อยู่แล้ว เพียงแต่ว่าพนักงานคนไหนจะมี authorization แค่ไหน

By: Kaede on 14 May 2011 - 08:41 #288762

พอดีใช้แบบฟรีไม่ซีเรียส ถ้าซีเรียสคงไม่เอาไฟล์สำคัญไปฝากคนอื่น

By: Fzo
ContributorAndroid
on 14 May 2011 - 16:11 #288902 Reply to:288762
Fzo's picture

+1

จริงครับ ไม่ซีเรียส เพราะใช้ฟรี และเก็บข้อมูลไม่สำคัญ ที่ผ่านมาใช้บ่อยอยู่นะครับ ไม่เคยเจอปัญหาเลย ที่สำคัญรองรับได้ทั้ง 3 OS เลย ( เจ้าอื่นไม่ทำให้ linux เลย )

ไว้ถ้าจ่ายเงิน แล้วมีข่าวแบบนี้มาล่ะค่อยบ่น อิอิ

WE ARE THE 99%

By: pawoot.com
WriterAndroid
on 14 May 2011 - 08:42 #288763
pawoot.com's picture

ข่าวนี้น่าจะสร้างความตื่นตัวให้คนที่ใช้ dropbox ไม่ใช่น้อย (ผมด้วย)

Pawoot.com

By: akirosskira
iPhoneAndroid
on 14 May 2011 - 08:59 #288765
akirosskira's picture

งั้นเราหันมาใช้สุดยอด "iDisk" ของลุงแว่นกันเถอะ

ฮาาาา :)

By: thedesp
WriterAndroidWindows
on 14 May 2011 - 09:04 #288766
thedesp's picture

ผมใช้วิธียัด TrueCrypt Volume ใส่ลงไปเลย

By: zerosource
AndroidUbuntu
on 14 May 2011 - 15:37 #288889 Reply to:288766

หัวใสอีกแล้ว

By: dekmai
iPhoneAndroidUbuntu
on 14 May 2011 - 09:15 #288770
dekmai's picture

ตั้งแต่ใช้มา ก็ยังไม่เคยได้ข่าว ไฟล์หาย เสียหาย หรือ copy นะ

:)(:

By: l2aelba
iPhoneAndroid
on 14 May 2011 - 09:50 #288777
l2aelba's picture

ผมเคยทดลองแล้วครับสรุปว่ามีการแฮกได้จริงๆ ผมลองใส่รูปลงใน Dropbox ... ผ่านไปเกือบเดือน รูปกระจายว่อนเน็ต... งงไปเลยว่ารูปหลุดได้ไง!

note.jpg

By: Yone on 14 May 2011 - 12:38 #288834 Reply to:288777

ตั้ง Public ไว้รึปล่าวครับ

By: l2aelba
iPhoneAndroid
on 14 May 2011 - 21:30 #288991 Reply to:288834
l2aelba's picture

ป่าวครับ :(

By: lancaster
Contributor
on 14 May 2011 - 15:40 #288891 Reply to:288777

ฮาา

By: exboy
iPhoneAndroidWindows
on 14 May 2011 - 10:09 #288784
exboy's picture

อ้าว ผมนึกว่าเป็นเรื่องปกติซะอีก สังเกตมานานแล้วว่าบางไฟล์ที่ใส่ลงไปมันไม่มีการอั๊พโหลดเลยแถมแป๊บเดียวเสร็จ

By: LolliezPop
iPhone
on 14 May 2011 - 12:42 #288838 Reply to:288784

อันนี้ผมก็เคยครับ เอาไฟล์ 400MB ใส่ลงไป แค่ 1 นาทีก็เสร็จแล้ว ผมก็ยังงงอยู่เลย

By: TeamKiller
ContributoriPhone
on 14 May 2011 - 23:43 #289015 Reply to:288784
TeamKiller's picture

มันจะไป ซ้ำกับ คนอื่นได้ ด้วยหรอเนี่ย ไฟล์ ขนาดนี้

By: PowerBerry
Android
on 14 May 2011 - 10:16 #288787

มันผิดตั้งแต่คิดจะเก็บไฟล์สำคัญไว้บนอินเตอร์เนตแล้ว

By: wichate
Android
on 14 May 2011 - 10:46 #288793 Reply to:288787

+100

ถ้าผมเป็นผู้ให้บริการ ผมก็คิดนะ ว่าจะเก็บไฟล์ 2 ไฟล์ที่มันเหมือนกันทุกอย่าง
มาไว้บน server ตัวเองทำไมให้เปลืองเนื้อที่ (ถึงเจ้าของไฟล์จะเป็นคนละคนกันก็เถอ) แถมยังต้องให้ใช้พรีๆอีก

เก็บไว้ไฟล์เดียวน่ะดีแล้ว ไม่ต้อง upload ใหม่ให้ user รอนานด้วย

ปล.แต่ถ้าแบบเสียตัง เขาเช่าพื้นที่แล้ว ก็ควรจะ upload ไฟล์ของเขามาตรงๆนะ

แต่จะกลายเป็นว่า คนที่ใช้แบบเสียตัง upload ไฟล์ได้ช้ากว่าคนที่ใช้พรีๆ 555+

By: Perl
ContributoriPhoneUbuntu
on 14 May 2011 - 10:55 #288796 Reply to:288787
Perl's picture

นั่นสิครับ..

ผมเองก็เอาเก็บแต่พวก Wallpaper เล็กๆน้อยๆ เอาไว้ Download กลับมาใส่มือถือ (เรื่องของเรื่องโปรแกรม Client มันสะดวกดี)

ส่วนเอกสาร (แต่ไม่สำคัญ) ลง Skydrive โลด..

By: JPorsh
iPhoneWindowsIn Love
on 14 May 2011 - 12:11 #288822 Reply to:288796
JPorsh's picture

+1

By: kswisit
ContributoriPhoneAndroidIn Love
on 14 May 2011 - 14:17 #288867 Reply to:288796

+1

เก็บแค่เอกสารไม่มีความลับ

เก็บรูป+ wallpaper เล็กๆ น้อยๆ

ส่วนเอกสาร หรือ ไฟล์สำคัญน่ะ ไม่ปล่อยให้อยู่ที่อื่นเด็ดขาด แม้แต่ในมือถือเอง

^
^
that's just my two cents.

By: BreMen
iPhoneWindows PhoneAndroid
on 14 May 2011 - 12:32 #288832 Reply to:288787
BreMen's picture

+10 อะไรที่ไม่สำคัญก็อย่าไปเก็บไว้ละกัน

ปล.อ่านข่าวนี้ ก็แอบนึกถึง EverNote ด้วยนะเนี่ย

By: azx
iPhoneWindows
on 14 May 2011 - 15:42 #288892 Reply to:288787
azx's picture

+1

By: myung
iPhoneWindows PhoneAndroid
on 14 May 2011 - 11:05 #288800
myung's picture

ก็เห็นอยู่ว่ามัน check hash กันตรงๆ แล้วไม่ได้เข้ารหัสอะไรเลย

By: touky
iPhone
on 14 May 2011 - 12:18 #288826
touky's picture

การลวงโลกครั้งยิ่งใหญ่

By: lancaster
Contributor
on 14 May 2011 - 15:45 #288894

ผมดูแล้วมันก็ไม่เห็นต่างจากที่เข้าใจอยู่เลยนะ ยังไง key มันก็ต้องแชร์กันอยู่แล้ว ไม่งั้นตอนแชร์ไฟล์กันมันก็แชร์ไม่ได้สิ ที่ว่าเข้ารหัสคงหมายถึงตอนเอาไปยัดเก็บใน s3 มากกว่า ต้องดึงมาถอดรหัสที่ dropbox server ก่อนส่งมาให้ user โหลด แล้วก็แน่นอนว่าจะต้องมี engineer บางคนมีสิทธิเข้าถึงไฟล์ของลูกค้าได้ มันแปลกตรงไหน ก็เป็นกันทุกที่

By: OooooooO on 14 May 2011 - 17:00 #288916

กำลังคิดว่าจะใช้ คงต้องรอดูอีกหน่อย

By: masternikkk
AndroidWindows
on 14 May 2011 - 19:42 #288971
masternikkk's picture

ชอบนะ แต่เสียอย่างตรงที่อัปไฟล์ใหญ่ๆ แล้วมันอัพไม่ไหวมันก็ไปรีอัพโหลดใหม่ 200 กว่า mb ก็อัพไม่ไหวแล้ว ขนาดติดตั้งโปรแกรมในเครื่อง -*- ค่าอัพ 512kb - - ไม่ได้ช่วยในการอัพโหลดเท่าไหร่เลย - -

By: platalay
iPhoneWindows PhoneAndroidWindows
on 15 May 2011 - 01:45 #289062

สรุป private ftp ดีที่สุด

By: tingcad
iPhone
on 15 May 2011 - 02:15 #289079

ผมใช้ไม่มีปัญหาครับ
แล้วก็ Share กับเพื่อนใช้กันในกลุ่ม เวลาส่ง files ก็ไม่มีปัญหาอะไร
อาจเป็นเพราะฟรีด้วยเลยไม่ได้คิดมากครับ
Like 100+