Confiar ou não no Dropbox?

O serviço de armazenamento Dropbox cometeu um erro embaraçoso na última segunda-feira (20), ao desativar a autenticação de senhas para milhares de usuários.

A companhia atualizou alguns códigos no serviço antes das 14h de segunda-feira (horário local), porém, a correção incluía um bug que desligou a necessidade de informar a senha para se logar no site e acessar os arquivos do Dropbox. Isso significa que todos os arquivos de todos os usuários podiam ser acessados livremente. Bastava conhecer o login. A empresa descobriu o erro pouco antes das 6h do mesmo dia e rapidamente eliminou o problema. Mas por quatro horas os documentos de usuários estiveram acessíveis a todos os internautas do mundo.

Este é o último olho roxo da segurança do armazenamento em cloud computing, precedido pelos problemas da Playstation Network da Sony e ataques cometidos pelo grupo de hackers LulzSec.

Mas se você desculpar o erro, eles dizem que há um lado bom para cada nuvem. Então vamos começar dando uma olhada no que deu certo desta vez e então veremos os problemas.

O lado bom: transparência

O CTO do Dropbox, Arash Ferdowsi, explicou o problema em seu blog,  a causa, como ele foi corrigido e o que foi afetado. A empresa diz que “um por cento” de seus 25 milhões de mais contas de usuários foram acessadas durante a falha de segurança.

Desde então, ele atualizou duas vezes a postagem com as últimas informações, e disse que está enviando e-mail para todas as contas acessadas durante o colapso com detalhes da movimentação naquele dia para que o usuário revise as alterações.

Como acontece com qualquer nova tecnologia,  obter a confiança do usuárioda nuvem é a chave para sua absorção e, portanto, de uso. A Amazon levou uma surra de seu silêncio durante a sua interrupção AWS Abril, e com razão. Saindo dessa questão, o Dropbox minimizou os danos à sua marca e produto e, provavelmente, tornando mais provável que seus usuários continuem confiando na empresa. Então, isso é bom.

O lado ruim: histórico de problemas

No entanto, se Dropbox tem um alto nível de sensibilidade em torno de questões de segurança, o problema é provavelmente merecido. Alguns meses atrás, a empresa vinha sendo criticada por ter enganado usuários sobre o nível de criptografia usado. Além disso, o FTC registrou uma queixa contra o Dropbox pelo mesmo motivo. E a empresa tem o hábito de entregar documentos a autoridades sempre de solicitada, negligenciando a privacidade dos usuários.

Qualquer um desses problemas poderia ser motivo suficiente para ficar longe do serviço. Mas o fato de que todos eles – incluindo o mais recente – ocorreram nas últimas 12 semanas deve ter deixado muitos empresários e gerentes de TI pensando em outras opções políticas ou sobre o que pode, e mais importante, o que não pode ser armazenado em uma conta Dropbox .

O pior: deixar a porta destrancada

O erro desta semana é particularmente oneroso. Não é bom que a criptografia não seja lá essas coisas e é ainda pior que o Dropbox tenha tentado enganar os seus usuários sobre isso. E embora seja um política comum entre serviços em nuvem, é inquietante pensar que seus dados podem ser entregues ao governo sem o seu conhecimento. Mas desligar a autenticação de senha? Isso é um outro nível de preocupação.

É como se alguém te prometesse segurança e deixasse as portas do seu escritório abertas à noite.

É inaceitável que este bug fez. Mesmo que apenas uma em cada 100 contas Dropbox tenham sido acessadas, todos os usuários estavam em risco. 

Resultado: mais perguntas sobre Cloud Computing

Em uma época em que as pequenas empresas estão confusas sobre a nuvem e o que ela tem para oferecer, erros gritantes, mas evitáveis não ajudam em nada para resolver essas preocupações e inseguranças.

Em pequenas empresas, é preciso ser cauteloso com serviços online gratuitos ou de baixo custo, para fazer a devida diligência ao permitir que usuários criem em seus fluxos de trabalho e são necessárias políticas que determinem quais serviços podem ser usados e como.

O Dropbox e ferramentas como ela podem oferecer aumentos enormes de produtividade, especialmente em uma época em que cada vez mais usuários se concectam ao trabalho através de dispositivos móveis. Mas as ferramentas que se destinam a usuários básicos precisam ser cuidadosamente examinadas e os riscos compreendidos antes que qualquer tipo de informações confidenciais de empresas sejam armazenadas.

Erros como este vão acontecer. É quase impossível evitar que provedores de cloud computing scramble para dimensionar e adicionar novas funcionalidades. As empresas precisam decidir onde traçar a linha de equilíbrio entre a conveniência e a segurança.