Döbbenetes bejegyzés olvasható az E-Siber.com oldalán: azt írja, a Dropbox Windows asztali kliense a beállított megosztott mappákat figyelmen kívül hagyva, minden egyes új fájlt feltölt saját szervereire, a felhasználó értesítése nélkül.

A bejegyzés szerzője, M. Mekin Pessen képernyőképekkel is megerősítette állításait, melyeket egy DLP (Data Loss Protection/Data Leak Prevention) szoftver segítségével vett észre. A DLP szoftverek jellemzően az adatszivárgást igyekeznek meggátolni azáltal, hogy észlelik és megakadályozzák az illetéktelen kezekbe történő háttértovábbítást. Úgy működnek, hogy átfogó módon vizsgálják a tartalmakat, illetve elemzik az adatfolyamokat is.

Az engedélyezett mappák

A Dropbox telepítését követően a felhasználó beállítja, hogy mely mappákat kívánja szinkronizálni. A szoftver készítője óvatosan fogalmaz:„only checked folders will sync to this computer”, azaz kizárólag a megjelölt mappák kerülnek szinkronizálásra erre a gépre. Ezt nem hagyhatjuk figyelmen kívül, ha bebizonyosodik hogy az E-Sibernek igaza van, akkor ebbe még valamelyest kapaszkodhat majd a vállalat. Azt ugyanis nem állítja ez a mondat, hogy a gépen tárolt más fájlokhoz ne férne hozzá a program.

Pessen beállította tehát a megosztott mappáit, aztán telepített és konfigurált egy DLP szoftvert is. Nem maradt más hátra, mint néhány fájlt létrehozni, szigorúan a megosztási mappákon kívül. Így került néhány DOCX a helyi lemez gyökérkönyvtárába, illetve pakolt tömörített állományokat egyből a kukába is, illetve ezeken túl más, a Dropbox által elvileg nem hozzáférhető mappába. Nyilván ezeket korábban a DLP konfiguráció során figyelésre állította.

Lefülelték (forrás: E-Siber.com)

A program azonnal riasztott, a Dropbox ugyanis késlekedés nélkül hozzányúlt ezekhez a dokumentumokhoz, tömörített állományokhoz. Egyúttal Pessen azt is ellenőrizte, mit mutat a tűzfal. Nem lehetett boldog, amikor meglátta, hogy több kapcsolat is létesült, ezek egy része Dropbox felé irányult, mások pedig az Amazon szerverére mutattak. Az IP címek ellenőrzésével az is világossá vált, hogy ezek szintén a Dropboxhoz köthetők.

Még a szemetesben is turkál(forrás: E-Siber.com)

A bejegyzésében arra nem tér ki a szerző, hogy vajon a teljes fájlt feltöltötte-e a Dropbox, vagy csak valamilyen egyéb információt küldött, de (ha hihetünk a képeknek és a leírásnak) mindez azt jelenti, hogy engedélyünk nélkül, illegálisan minden fájlunkhoz hozzáfér a szolgáltatás.

A tűzfal is látja (forrás: E-Siber.com)

Arról sincs információ, hogy hogy viselkedik az alkalmazás Linux, illetve OS X környezetben, mit csinál mobil operációs rendszeren, illetve a Dropbox részéről sem érkezett egyelőre hivatalos válasz. Kérdéseinket mi is elküldtük a témával kapcsolatban, egyelőre az automatikus visszaigazoláson kívül ezekre sem érkezett érdemi magyarázat.

Minden jel a Dropboxra mutat