클라우드에서 데이터의 위험에

나는 종종 제품이나 서비스를보고“ 이것이 진짜가 아니길 바란다 ”고 말합니다. 오늘 내 레이더에서 자른 것, 즉 FileThis 서비스를 살펴볼 차례입니다. 빠른 검색을하면 Play 스토어 및 iTunes 스토어에서 해당 앱과 해당 앱을 찾을 수 있습니다.

끝이없는 벤처 캐피탈 자금이있는 신생 기업의 "클라우드"에코 시스템이 확산되면서, 모든 사람들이 삶을 편하게하려고 노력하는 경우 (종종 데이터 판매에 의존하는 비즈니스 모델로) 왜 FileThis를 선택해야합니까? 간단히 말해, 우리는 FileThis와 같은 신생 기업을 신뢰함으로써 소비자에게 잘 서비스를 제공하는지 여부를 의심합니다.

무엇입니까?

File 사람들이 조직되도록 도와줌으로써 인생을 더 편하게 만드는 것을 목표로합니다. 은행 명세서, 보험 증서, 신용 카드 청구서, 투자 내역 및 청구서를 검색하여 클라우드에 저장하여이를 수행합니다. 효과적으로 웹 스크레이퍼입니다 (1 월 7 일부터 PC 월드 리뷰를 인용). 다른 웹 스크레이퍼와는 다릅니다. 은행 계좌 및 신용 카드에 대한 로그인 정보를 제공하는 웹 스크레이퍼입니다. 실제로, FileThis는“400 개가 넘는”다양한 서류 소스를 지원한다고 주장합니다. 공정하게 말하면 FileThis는 유사한 기능을 제공하는 유일한 서비스는 아닙니다. 은행, 중개 및 신용 카드 계정을 긁는 Mint.com은 2009 년에 1 억 1 천 8 백만 달러에 Intuit에 의해 구입되었습니다. 그 후 정보 집계 공간이 시작되었습니다.

그래서 무엇?

이러한 모든 은행 및 신용 카드 명세서, 보험 정책 문서 및 기타 청구서 (예 : 전화 요금 청구서 및 가입 위성 또는 케이블)를 수집하는 데있어 주요 문제점은 사용자가 재무 상태에 단일 실패 지점을 도입했다는 것입니다. 모든 비밀번호를 개인 회사에 제공했습니다. 그러나 그들은 누구입니까? 왜 그들을 믿어야합니까? 당신은 출근길에 지하철 역 밖에 서있는 그 사람에게 당신의 은행 계좌 내역서를 넘겨 줄 것입니까? 스타 벅스 이외의 기타와 함께 흩어진 거지에게 건강 보험 서류 (클레임 정보를 쉽게 포함 할 수 있음)를 제공 하시겠습니까? 대부분의 회원과 마찬가지로 저는 인터넷의 냉소적 인 사용자입니다. 사기가 존재한다는 것을 알고 있습니다. 개인 정보를 요청하는 회사를 합리적으로 조사 할 수 있습니다. 저의 편견은 그 정보를 가능한 한 적은 수의 개체에 제공하는 것입니다. 아래는 FileThis와 같은 서비스를 신뢰하는 이유에 대한 저의 (cynical) 분석입니다. FileThis가 데이터에 부정적인 디자인을 가지고 있으며 붉은 깃발 만 있다는 확실한 증거는 없습니다. 공정하게 말하면, 수십 개의 스타트 업에 대해 유사한 분석을 구성 할 수 있지만 FileThis가 요청하는 정보는 특히 침습적입니다.

그렇다면 FileThis는 누구입니까? 그들의 도메인에 대한 후이즈 수표는별로 공개되지 않습니다. 도메인이 "FileThis.com"의 "Loyal Bassett"에 의해 등록되었음을 확인합니다. 이 이름을 명심하십시오. 나중에 다시 보겠습니다. 실제 주소가 없으며 사이트는 Amazon 인프라에서 호스팅됩니다. 이에 상응하는 실제 세계는“고정 된 거주지 없음”입니다.

더 깊은 구멍 파기

위의 계시를 통해 나는 조금 더 나아가서 EMV SSL 인증서를 가지고 있는데, 이는 인증서를 발행 한 인증 기관에 의해 회사의 존재가 확인되었음을 의미합니다. 슬프게도 이것은 거의 의미가 없습니다. 몇 가지 양식의 서명으로 새로운 회사를 설립하고 폐쇄 할 수 있습니다. 결국, 나는 그들이 어디에 기반을두고 있는지 더 이상 찾으려고하지 않고 그들이 어떻게 자금을 조달했는지 더 자세히 보았습니다.

FileThis는 단지 오래된 회사가 아니라 현재 140 만 달러의 조율로 부채를 조달 한 민간 회사입니다. 백만 달러를 빚진 사람에게 신용 카드 청구서와 은행 계좌 명세서를 보내시겠습니까? 회사 측에서 부정적인 의도를 나타내는 것은 아무것도 없지만, 직접 대면하지 않더라도 온라인에서 거의 익명의 회사에게 왜 그런가? 전환 가능한 부채는 초기 단계의 회사에 자금을 제공하는 상당히 일반적인 방법이지만 신생 기업은 위험합니다. 사악한 의도의 위험을 감수하더라도 신생 기업은 실패하고 창업자는 떠난다. 기업은 스크랩을 위해 팔리고 심지어 최고의 보안은 실패 할 수있다. 당신은 당신의 데이터가 끝나는 곳을 모른다.

그들의 자금을 조사하는 과정에서 나는 증권 거래위원회와 함께 서류를 제출했으며, 적어도 그들이 물리적 인 존재를 확인했습니다. 그러나이 출원조차도 정확히 다가오는 것은 아닙니다. 흥미롭게도, 그들의 웹 사이트는 그들의 관리 팀을 보여줍니다. 그들 중 누구도 인터넷 도메인을 소유 한 것으로 보이는 위에서 언급 한 "Loyal Bassett"이 아닙니다. 간단한 전기를 살펴보면 다음과 같이 상점을 설립했습니다.

  • "25 년의 소프트웨어 산업 베테랑이자 열정적 인 기업가"… 보안 또는 개인 정보 보호 관련 경험을 구체적으로 언급하지 않음
  • 보안을 포함하여 회사 전체의 모든 코딩으로 보이는 것을 저글링하는 주립 대학에서 컴퓨터 과학 학사 학위를 취득한 전 Adobe 프로그래머
  • 마케팅 담당자

이는 개인 정보를 보호 할 가능성이 가장 적은 세 사람이 온라인 뱅킹 암호를 넘겨달라고 요청하는 전통적인 나쁜 농담의 시작과 거의 같습니다. 그리고 어도비에서 온 프로그래머는 분명히 실수하지 않을 것입니다.

다른 문제?

고려해야 할 또 다른 것은 FileThis와 같은 서비스를 사용하는지 여부입니다. 귀하는 은행 로그인 자격 증명을 사용하여 수행 된 모든 거래에 대한 책임이 있습니다. 로그인 정보를 다른 사람에게 제공하는 것은 종종 이용 약관에 위배됩니다. 마찬가지로, Bank of America에서 제공 한 것과 같은 사기 예방 책임 보증은 구체적으로“개인 정보 나 계정 정보를 다른 사람과 공유하지 마십시오”라고 명시합니다. 이는 아마도 사람뿐만 아니라 회사에도 적용됩니다.

은행에 로그인 자격 증명을 제공하면 신분 도용의 위험에 노출됩니다. 클라우드 스토리지에 액세스 할 수있는 사람은 모든 진술, 정책 및 개인 문서에 액세스 할 수 있습니다. 은행 계좌 명세서를 Dropbox (또는 다시) 또는 Evernote (다시) 또는 Box에 업로드 하시겠습니까? 위험은 적을 수 있지만 실제입니다. File 이것은 모든 종류의 컴퓨팅 자격을 주장하는 한 명의 직원만을 나타냅니다. 그는 몇 가지 다른 작업과 함께 보안을 저글링하는 것으로 보입니다. 데이터를 보호하기에 충분합니까?

암호화?

많은 서비스와 마찬가지로 FileThis는 데이터를 암호화한다고 주장합니다. 실제로, 그들은 실제로 이것을 둘러싼 기술적 세부 사항을 제공합니다. 그러나 웹 사이트를 통해 잠재적 인 허점을 발견했습니다. Box 또는 Dropbox 지원에 대한 주장을 볼 때 암호화에 대해 언급 한 것은 없습니다. 둘 다 (위에서 언급했듯이) 특히 보안상의 과거보다 적습니다. File 개인과의 동기화를 지원하지만 개인은 암호화를 사용하여 데이터를 저장하는 것처럼 보이지만 암호화를 제공한다고 주장하는 대부분의 클라우드 기반 제품과 마찬가지로 웹 서버는 브라우저에 데이터를 표시 할 수 있으므로 키를 사용할 수 있습니다 공급자에게. 당연히 Dropbox와 Box의 상황을 감안할 때 Google 드라이브 통합은 데이터를 암호화하지 않습니다.

FileThis 웹 사이트를 통해 데이터에 액세스 할 수 있다고 가정하면 해당 정보를 해독하고 보는 데 필요한 암호화 키를 소유하고 있음이 분명합니다. 즉, 키를 분실하거나 키를 도난 당했거나 서비스가 손상된 경우 신원 도용이 위험에 처하게됩니다.

이용 약관에서 FileThis 상태는

귀하의 문서와 계정 비밀번호 및 사용자 이름을 보호하는 것이 매우 중요합니다. 우리는 다양한 인증, 암호화 및 보안 프로세스 및 절차를 사용하여 무단 액세스 및 공개로부터 보안을 유지하기 위해 최선을 다합니다. 그러나 인터넷 시대에는 이러한 보안에 대한 100 % 보증이 없으며이를 이해하고 서비스가 "AS-IS"로 제공되고 보증 또는 보증없이 제공된다는 데 동의합니다.

FileThis의 보안 예방 조치에 대한 확신의 척도로서 모든 FileThis 담당자는 귀하가 원하는 방식으로 당사 서비스를 사용합니다.

FileThis를 사용하는 것이 그들을 위해 일하기위한 전제 조건이라면, 나는 자신의 제품에 대한 직원의 자신감이 엄청나게 높다고 말할 수 있습니다. 이 코드는 오픈 소스가 아니기 때문에 결함에 대해 감사 할 수 없습니다. 이 서비스는 목표입니다 – 비밀번호를 받으면 궁극적 인 신원 도용 대성공을 당할 수 있습니다 – 누군가의 문자 그대로 전체 신원, 신분 및 신분을 신청할 때 필요한 모든 서류를 포함하거나 심지어 신원 확인 그들 스스로 은행. 은행에서 보안을 위해 과거 거래 정보를 요청할 때, 귀하의 명세서에 액세스 할 수있는 사람이라면 누구나이를 제공 할 수 있습니다! 여기에는 "클라우드"문에 액세스 할 수있는 사람이 포함됩니다.

말하는 트위들

우리는 또한 사이트에서 테크노 버블을 확신 할 수 없다는 것을 발견했습니다. 그들은 보안 페이지에서

File이 계정 및 모든 계정 연결에 대한 자격 증명은 입력 한 순간부터 암호화됩니다. 서버 및 데이터베이스에서 자격 증명은 현재 사용 가능한 최고 암호화 표준 인 AES 256 비트 암호화를 사용하여 암호화됩니다. 결론 : 해커가 서버에서 자격 증명에 액세스 할 수 있어도 데이터를 읽을 수는 없습니다.

자, 그것을 액면가로 가져 가서 그들의 보안이 좋다고 가정합시다! 문제는 해당 사이트에 로그인하여 데이터를 검색하기 위해 서비스가 자격 증명에 액세스한다는 것입니다. 서버에 침입하는 사람은 원격 시스템 (은행 및 기타 회사)에 대한 요청에 액세스 할 수 있으므로 해독 된 내용에 액세스 할 수 있습니다. FileThis는 온라인이 아니고 로그인 상태 일 때 새 문서를 확인할 수 있으므로 계정 데이터에 액세스하기 위해 비밀번호가 필요하지 않습니다. 즉, 데이터베이스의 데이터를 해독하기위한 키를 가지고 있다는 의미입니다. 인프라 내에있는 키를 사용하여 데이터가 암호화됩니다. 그것은 그들이 제안한 것만 큼 안전하지는 않습니다!

다른 사람이 들어 오면 계정 비밀번호를 얻고 동기화 할 계정을 찾을 수 있습니다. 데이터를 외부 (다른 클라우드 계정과) 동기화하면 FileThis 시스템에 보관되지 않을 수 있지만 공격자는 여전히 "전송 중"데이터에 액세스 할 수 있습니다 (공격자는 데이터에 대한 두 번째 액세스를 수행하여 이러한 파일을 유출 할 수 있음) 파일을 사용하는 클라우드 스토리지 서비스로 전달하지 않고 직접 전송하십시오.

이와 같은 회사의 존재는“클라우드”에 대한 일반 대중의 맹인 (그리고 어리석은)의 신뢰를 증명합니다. 나는 사람들의 정체성을 훔치기위한 정교한 사기 나 허니팟 인 서비스와 비슷한 서비스를 상상할 수있다. 누가 대담한 것이 효과가 없다고 말하는가? 사용자에게 세부 정보를 요청하면 도둑질로 고발 할 수 없습니다!

Apple 제품 출시 기조 연설처럼 들리는 것보다 더 많은 것이 실제로 있습니다! 회사의 서비스 이용 약관에서 :

본 이용 약관의 목적 상 그리고 서비스의 일부로 귀하에게 계정 정보를 제공하기 위해서만 귀하는 FileThis에게 제한된 위임 권한을 부여하고 FileThis를 귀하의 변호사 및 대리인으로 임명하여 제 3 자 사이트에 액세스합니다. 귀하가 직접 할 수있는 것과 같은 활동과 관련하여 필요한 모든 것을 수행하고 수행 할 수있는 모든 권한과 권한을 가지고 귀하의 계정 정보를 검색하고 사용하십시오. 귀하는 서비스를 통해 액세스 할 수있는 제 3자가 서비스를 후원하거나 보증하지 않음을 이해합니다.

그래서 당신은 간다! 당신은 당신의 재정의 적어도 일부 측면에 대해 변호사의 권력을 임명했습니다! 클릭 랩 계약을 통해 누군가에게 변호사 권한을 부여 할 수 있다는 것을 알고 계셨습니까? 아니; 나도 아니었다! 물론 변호사가 잘못 행동하는 것 같은 냄새가납니다. 본 계약서가 FileThis에 제공 할 권리에 대해 적어도 모호함이 있습니다. 귀하는 "모든 권한과 권한으로 귀하의 계정 정보를 사용하여"정확히 무엇을 할 수있는 능력을 지명합니까? 그들은 귀하의 정보를 사용하여 계정을 비울 수 있습니까? 이 변호사 계약의 권력이 기술적으로 가장 경의를 가진 판사들에게도 견딜 것이라고 잠시 동안 믿지는 않지만 사람들이 클릭하기 전에 질문을하지 않는 것은 여전히 ​​불행합니다!

사업자 인 경우 어떻게합니까?

이것은 순진하고 덜 기술적 인 경향이있는 소비자를 목표로하는 것이 아닙니다. 그들의“Pro”서비스 (이론상)는 재무 고문, 회계사 또는 세무 고문이 FileThis를 사용하여 고객 데이터를 저장하도록 권장되는 것과 유사한 위험에 처하게합니다. 공격 할 데이터 마이닝이 있다면 이것이 바로 그것입니다. 이 회계사 계정에 보관 된 데이터 (컴퓨터 과학자가 아니라 올바른 암호를 선택하지 않을 것임)는 나쁜 행위자에게 매우 중요합니다.

FileThis (및 FileThis Pro)의 전체 개념은 범죄자들이“클라우드 스토리지”에서 다른 사람들의 계정에 액세스하여 파일을 훔치는 늦은 사건에 직면합니다. 은행 계좌 내역서 나 신용 카드 / 유틸리티 청구서를 도난 당하면 신원이 위험에 처하게됩니다. 누가 책임을 져야할지는 중요하지 않습니다. 신용이 망가질 수 있습니다. 회복이 어려울 수 있습니다. 이 데이터가 급류에 도달하면 오랫동안 사용할 수 있습니다. 불편은 심각 할 것입니다.

반올림

FileThis를 사용한 경우이 결정을 신중하게 고려해야합니다. 취소하기로 결정한 경우 실제로 모든 것을 제거했는지 확인하기 위해 이메일을 보내십시오. 그런 다음 모든 계정 공급자로 이동하여 비밀번호를 재설정하십시오. 신용 모니터링 시스템에 사인하고 이상한 일이 발생하지 않도록주의하십시오. 그런 다음 클라우드 저장소 계정으로 이동하여 저장된 파일을 삭제하십시오. 그런 다음 삭제 취소 또는 기록 기능에서 제거하십시오. 사실, 당신은 그것들을 완전히 제거 할 수는 없습니다. 백업이있을 것입니다.

친애하는 인터넷, 잠시만 생각해 보시고, 우리가 더 회의적인 옛날로 돌아가 봅시다. 모든 은행 명세서, 신용 카드, 상점 카드, 공과금 청구서 및 보험 서류를 한곳에 있습니까? 사람들은 이것이 클라우드에서 온라인으로 저장하는 것이 좋다고 생각합니까? 슬프게도, 오늘, 그들은 그렇게 보인다. 그리고 그것은 단지 문제를 요구하고 있습니다!

어떤 회사가 합법적인지 어떻게 알 수 있습니까? 화려한 웹 사이트? 빠른 워드 프레스 블로그에 잘 짜여진 웹 페이지가 있습니까? 회사를 등록하는 누구나 사용할 수있는 멋진 SSL 인증서? 몇 가지 보도 자료? 범죄자들은 ​​그들의 서비스를“identitytheftasaservice.com”이라고 부르지 않을 것입니다. 인터넷은 위험한 의도로 가득 차 있습니다. 파일 열정적 인 기업가가 설립 한 평판 좋은 회사 일 것입니다. 우리는 이런 식으로 그들을 단념하는 것을 싫어합니다. 그러나 다음 회사 또는 그 이후의 다음 회사에 대해 누가 알겠습니까? 우리는 회의론, 냉소주의를 촉구합니다.

어떻게 생각해? 이런 서비스를 사용 하시겠습니까? 가지고있는 사람이 있습니까? 아래에 의견을 공유하십시오.

출처 : FileThis는 AndroidPolice를 통해 제공됩니다.