Tentang Risiko Data Anda di Awan

Tidak sering saya melihat produk atau layanan dan mengatakan " Saya sangat berharap ini tidak nyata ". Sudah waktunya untuk melihat sesuatu yang muncul di radar saya hari ini, yaitu layanan yang disebut FileThis. Pencarian cepat akan menemukannya, dan aplikasi mereka di Play Store dan iTunes store.

Dengan penyebaran ekosistem "cloud" dari perusahaan baru yang didanai modal ventura tanpa akhir, semuanya berusaha membuat hidup Anda lebih mudah (seringkali dengan model bisnis yang mengandalkan penjualan data Anda), mengapa memilih FileThis? Sederhananya, kami mempertanyakan apakah konsumen dilayani dengan baik dengan memercayai startup seperti FileThis, yang mewakili contoh layanan yang sangat menyedihkan yang memerlukan akses ke kata sandi dan informasi Anda yang paling sensitif.

Apa itu?

FileThis bertujuan untuk membuat hidup lebih mudah dengan membantu orang menjadi terorganisir. Mereka melakukan ini dengan mengambil laporan bank Anda, sertifikat asuransi, tagihan kartu kredit, rincian investasi dan tagihan, dan menyimpannya di cloud untuk Anda. Ini efektif scraper web (mengutip review PC World itu, dari 7 Januari). Kecuali ini tidak seperti scraper web lainnya. Ini adalah pengikis web tempat Anda memberikan informasi login untuk rekening bank dan kartu kredit Anda. Bahkan, FileThis mengklaim mendukung "lebih dari 400" sumber dokumen yang berbeda, yang dapat mereka ambil dan tahan untuk Anda. Agar adil, FileThis bukan satu-satunya layanan yang menyediakan fungsionalitas serupa. Mint.com, yang mengumpulkan rekening bank, broker, dan kartu kredit, dibeli oleh Intuit sebesar $ 170 juta pada tahun 2009. Sejak itu, ruang agregasi informasi telah hilang.

Terus?

Masalah utama dengan mengumpulkan semua laporan bank dan kartu kredit, dokumen polis asuransi, dan tagihan lainnya (seperti tagihan telepon kontrak dan satelit berlangganan atau kabel), adalah bahwa pengguna telah memperkenalkan satu titik kegagalan pada keberadaan keuangan mereka. Anda telah memberikan semua kata sandi Anda ke perusahaan swasta. Tapi siapa mereka? Mengapa Anda harus mempercayai mereka? Apakah Anda akan menyerahkan laporan bank Anda kepada orang yang berdiri di luar stasiun kereta bawah tanah dalam perjalanan Anda ke tempat kerja? Apakah Anda akan memberikan dokumentasi asuransi kesehatan Anda (yang dapat dengan mudah menyertakan rincian klaim) kepada pengemis yang berantakan dengan gitar di luar Starbucks? Seperti kebanyakan anggota, saya adalah pengguna Internet yang sinis. Saya tahu ada penipuan. Saya dapat secara wajar meneliti perusahaan yang meminta informasi pribadi saya. Bias saya adalah memberikan informasi itu kepada sesedikit mungkin entitas. Di bawah ini adalah analisis saya (sinis) tentang mengapa mempercayai layanan seperti FileThis adalah keputusan yang dipertanyakan. Saya tidak punya bukti kuat bahwa FileThis memiliki desain negatif pada data Anda, hanya bendera merah. Agar adil, saya bisa mengumpulkan analisis serupa untuk puluhan startup, tetapi informasi yang diminta FileThis sangat invasif.

Jadi, siapa FileThis? Pemeriksaan whois di domain mereka tidak banyak mengungkapkan. Ini mengkonfirmasi bahwa domain terdaftar oleh "Loyal Bassett" dari "FileThis.com". Ingatlah nama ini, kami akan kembali lagi nanti. Tidak ada alamat fisik yang diberikan, dan situs di-host di infrastruktur Amazon. Setara dunia nyata dari ini adalah "tidak ada tempat tinggal tetap".

Menggali Lubang Lebih Dalam

Dengan wahyu di atas, saya mengambil hal-hal sedikit lebih jauh: mereka memiliki sertifikat SSL EMV, yang berarti keberadaan perusahaan mereka diverifikasi oleh otoritas sertifikat yang menerbitkan sertifikat. Sayangnya, ini berarti sedikit; perusahaan baru dapat dibentuk dan ditutup dengan penandatanganan beberapa formulir. Akhirnya, saya berhenti berusaha mencari lebih banyak tentang di mana mereka didasarkan dan lebih melihat bagaimana mereka didanai.

Ternyata FileThis bukan sembarang perusahaan tua, tetapi perusahaan swasta, yang saat ini telah membiayai sendiri utang hingga $ 1, 4 juta. Apakah Anda akan memberikan tagihan kartu kredit dan laporan bank Anda kepada seseorang yang berhutang satu juta dolar? Meskipun tidak ada yang menunjukkan niat negatif dari pihak perusahaan, Anda tidak akan melakukannya secara langsung, jadi mengapa ke perusahaan online yang hampir anonim? Dan sementara utang konversi adalah cara yang cukup khas untuk mendanai perusahaan tahap awal, pemula berisiko. Bahkan mengabaikan risiko niat jahat, startup gagal, cuti pendiri, bisnis dijual untuk memo, bahkan keamanan terbaik bisa gagal. Anda tidak tahu di mana data Anda akan berakhir.

Dalam proses penyelidikan dana mereka, saya menemukan pengajuan mereka dengan Komisi Sekuritas dan Bursa, yang setidaknya mengkonfirmasi mereka memiliki kehadiran fisik. Tetapi bahkan pengajuan ini tidak tepat. Menariknya, situs web mereka menunjukkan tim manajemen mereka. Tak satu pun dari mereka yang bernama "Loyal Bassett" yang tampaknya memiliki domain internet mereka. Setelah melihat biografi singkat mereka, jelas mereka telah mendirikan toko dengan:

  • "Seorang veteran 25 tahun di industri perangkat lunak dan wirausaha yang bersemangat" ... tidak membuat referensi khusus untuk pengalaman terkait dalam keamanan atau privasi
  • mantan programmer Adobe dengan gelar sarjana Ilmu Komputer dari universitas negeri yang menyulap semua pengkodean di seluruh perusahaan, termasuk keamanan
  • seorang pria pemasaran

Ini hampir seperti awal dari lelucon buruk tradisional - tiga orang yang paling tidak mungkin melindungi data pribadi Anda, meminta Anda untuk menyerahkan kata sandi perbankan online Anda. Dan programmer, yang berasal dari Adobe, jelas tidak akan pernah membuat kesalahan ... pernah ... Terutama yang keamanan ...

Masalah lain

Hal lain yang patut dipertimbangkan adalah apakah menggunakan layanan seperti FileThis layak dengan biaya tambahan risiko finansial dalam hidup Anda. Anda berpotensi bertanggung jawab atas segala transaksi yang dilakukan menggunakan kredensial login bank Anda. Sering juga melanggar syarat dan ketentuan untuk memberikan detail login Anda kepada orang lain. Demikian pula, jaminan pertanggungjawaban pencegahan penipuan (seperti yang disediakan oleh Bank of America), menyatakan secara khusus "jangan berbagi informasi pribadi atau akun dengan siapa pun."

Dengan memberikan kredensial masuk ke bank Anda, Anda membuka diri terhadap risiko pencurian identitas. Siapa pun yang mendapatkan akses ke penyimpanan cloud Anda akan memiliki akses ke semua pernyataan, kebijakan, dan dokumen pribadi Anda. Apakah Anda akan mengunggah laporan bank Anda ke Dropbox (dan lagi), atau Evernote (lagi) atau Box? Risikonya mungkin kecil, tetapi nyata. FileThis menunjukkan hanya satu karyawan yang mengklaim segala jenis kualifikasi komputasi. Dia tampaknya menyulap keamanan bersama dengan beberapa tugas lainnya. Apakah itu cukup untuk melindungi data Anda?

Enkripsi?

Seperti banyak layanan, FileThis mengklaim untuk mengenkripsi data Anda. Memang, mereka sebenarnya memberikan beberapa detail teknis seputar hal ini. Tetapi dari membaca melalui situs web mereka, kami mendeteksi lubang potensial. Tidak disebutkan sama sekali tentang enkripsi ketika melihat klaim mereka mendukung Box atau Dropbox. Keduanya (seperti yang disebutkan di atas) memiliki masa lalu keamanan yang kurang dari bintang, khususnya Dropbox! FileThis mendukung sinkronisasi dengan Pribadi (dan Pribadi tampaknya menggunakan enkripsi untuk menyimpan data Anda), tetapi seperti halnya dengan sebagian besar produk berbasis cloud yang mengklaim menawarkan enkripsi, server web dapat menunjukkan data Anda di browser, artinya kunci tersedia ke penyedia. Dan, tidak mengejutkan, mengingat situasi untuk Dropbox dan Box, integrasi Google Drive tidak mengenkripsi data Anda.

Karena Anda dapat mengakses data Anda melalui situs web FileThis, jelas mereka memiliki kunci enkripsi yang diperlukan untuk mendekripsi dan melihat informasi itu. Ini berarti jika mereka kehilangan kunci, kunci itu dicuri, atau layanan mereka dikompromikan, pencurian identitas menjadi risiko.

Dalam syarat dan ketentuannya, FileThis menyatakan itu

Melindungi dokumen dan kata sandi akun serta nama pengguna Anda sangat penting bagi kami. Kami melakukan segala upaya untuk memastikan bahwa ini aman terhadap akses dan pengungkapan yang tidak sah dengan menggunakan berbagai proses dan prosedur otentikasi, enkripsi, dan keamanan. Namun, di Era Internet, tidak ada jaminan 100% untuk keamanan semacam itu dan Anda memahami ini dan setuju bahwa Layanan diberikan "SEBAGAIMANA ADANYA" dan tanpa jaminan atau jaminan.

Sebagai ukuran keyakinan bahwa FileThis memiliki tindakan pencegahan keamanan, semua petugas FileThis menggunakan layanan kami seperti yang Anda inginkan.

Jika menggunakan FileThis adalah prasyarat untuk bekerja untuk mereka, saya tentu dapat mengatakan bahwa kepercayaan karyawan mereka terhadap produk mereka sendiri sangat tinggi. Kode ini bukan open source, jadi tidak bisa diaudit karena kekurangan. Layanan ini adalah target besar - jika Anda mendapatkan kata sandi, Anda memenangkan jackpot pencurian identitas pamungkas - seluruh identitas seseorang secara literal, termasuk semua dokumen yang Anda perlukan untuk mengajukan ID dan kredit atas nama mereka, atau bahkan untuk mengautentikasi ke mereka bank sebagai diri mereka sendiri. Ketika bank Anda meminta informasi transaksi masa lalu untuk keamanan, siapa pun yang memiliki akses ke laporan Anda dapat menyediakan ini! Ini termasuk siapa pun yang memiliki akses ke pernyataan "cloud" Anda.

Berbicara Twaddle

Kami juga menemukan masalah teknis di situs tidak meyakinkan. Mereka mengatakan pada halaman keamanan mereka itu

kredensial ke akun FileThis Anda, dan untuk semua koneksi akun Anda dienkripsi sejak dimasukkan. Di server kami dan di basis data kami, kredensial Anda dienkripsi menggunakan enkripsi AES 256-bit, yang merupakan standar enkripsi tertinggi yang tersedia saat ini. Intinya: bahkan jika seorang hacker bisa mendapatkan akses ke kredensial Anda di server kami (mereka tidak bisa), tidak mungkin bagi mereka untuk membaca data apa pun.

OK, mari kita anggap nilai nominalnya, dan anggap keamanan mereka baik! Masalahnya adalah bahwa layanan mereka mengakses kredensial Anda untuk masuk ke situs-situs tersebut dan mengambil data Anda. Siapa pun yang membobol server mereka akan memiliki akses ke konten yang didekripsi, karena mereka akan memiliki akses ke permintaan yang dibuat ke sistem jarak jauh (bank dan perusahaan lain). Karena FileThis dapat memeriksa dokumen baru ketika Anda tidak online dan login, mereka tidak memerlukan kata sandi Anda untuk mengakses data akun Anda, yang berarti mereka memegang kunci untuk mendekripsi data dalam database mereka. Data Anda dienkripsi di sana, menggunakan kunci yang disimpan dalam infrastruktur mereka. Itu sama sekali tidak seaman yang mereka sarankan!

Jika seseorang masuk, mereka akan mendapatkan kata sandi akun Anda dan dapat mengetahui akun mana yang Anda sinkronkan. Jika Anda menyinkronkan data Anda secara eksternal (ke akun cloud lain), itu mungkin tidak disimpan pada sistem FileThis, tetapi penyerang masih bisa mendapatkan akses ke data "dalam perjalanan" (penyerang dapat mengeksfiltrasi file-file ini dengan melakukan akses kedua ke file secara langsung daripada meneruskannya ke layanan penyimpanan cloud yang Anda gunakan).

Keberadaan perusahaan seperti ini membuktikan kepercayaan publik yang buta (dan mungkin bodoh) pada "awan". Saya bisa membayangkan layanan, yang terlihat dan terasa sangat mirip dengan ini, yang sebenarnya merupakan tipuan atau honeypot yang rumit untuk mencuri identitas orang: Siapa bilang berani tidak bekerja? Cukup tanyakan rinciannya kepada pengguna, maka Anda tidak dapat dituduh mencuri!

Sebanyak yang saya benci terdengar seperti keynote peluncuran produk Apple, benar-benar ada lagi! Dari syarat dan ketentuan layanan perusahaan:

Untuk keperluan Ketentuan Penggunaan ini dan semata-mata untuk memberikan Informasi Akun kepada Anda sebagai bagian dari Layanan, Anda memberikan FileThis kuasa terbatas, dan menunjuk FileThis sebagai pengacara dan agen Anda, untuk mengakses situs pihak ketiga, mengambil dan menggunakan Informasi Akun Anda dengan kekuatan dan wewenang penuh untuk melakukan dan melakukan setiap hal yang diperlukan sehubungan dengan kegiatan tersebut, seperti yang dapat Anda lakukan secara langsung. Anda memahami bahwa Layanan tidak disponsori atau didukung oleh pihak ketiga mana pun yang dapat diakses melalui Layanan.

Jadi begitulah! Anda baru saja menunjuk surat kuasa atas setidaknya beberapa aspek keuangan Anda! Tahukah Anda bahwa Anda dapat memberikan kuasa kepada seseorang melalui perjanjian klik-bungkus? Nggak; saya juga tidak! Tentu saja, ini berbau seperti pengacara mengamuk. Setidaknya ada beberapa ambiguitas mengenai hak apa yang dimaksudkan perjanjian ini untuk diberikan kepada FileThis: Anda menunjuk mereka kemampuan untuk "menggunakan Informasi Akun Anda dengan kekuatan dan otoritas penuh" untuk melakukan apa, tepatnya? Bisakah mereka menggunakan informasi Anda untuk menguras akun Anda? Meskipun saya tidak percaya untuk sejenak bahwa surat kuasa ini akan bertahan bahkan terhadap hakim yang paling tidak teknis, masih disayangkan bahwa orang tidak mempertanyakannya sebelum hanya mengklik!

Bagaimana jika saya Bisnis?

FileThis tidak hanya mencoba menargetkan konsumen yang naif dan kurang berteknologi. Layanan "Pro" mereka (secara teori) menempatkan penasihat keuangan, akuntan, atau penasihat pajak Anda pada risiko yang sama ketika mereka didorong untuk menggunakan FileThis untuk menyimpan data pelanggan mereka. Jika pernah ada tambang data untuk diserang, ini dia. Data yang disimpan dalam akun akuntan ini (bukan ilmuwan komputer, tidak mungkin untuk mengambil kata sandi yang baik) sangat berharga bagi pelaku yang buruk.

Seluruh konsep FileThis (dan FileThis Pro) terbang dalam menghadapi peristiwa akhir-akhir ini di mana penjahat mendapatkan akses ke akun orang lain di "penyimpanan cloud" dan mencuri file mereka. Dan tidak masalah bagaimana hal itu dilakukan - begitu laporan bank atau kartu kredit / tagihan listrik Anda dicuri, identitas Anda berisiko. Tidak masalah siapa yang harus disalahkan, kredit Anda mungkin hancur. Memulihkan bisa sulit. Jika data ini menemukan jalannya ke torrent, itu akan tersedia untuk waktu yang lama. Ketidaknyamanan akan menjadi signifikan.

Pembulatan

Jika Anda telah menggunakan FileThis, saya mendorong Anda untuk mempertimbangkan keputusan ini dengan cermat. Jika Anda memutuskan untuk membatalkan, kirim email kepada mereka untuk memastikan mereka benar-benar menghapus semuanya. Lalu pergi ke setiap penyedia akun dan setel ulang kata sandi Anda. Masuk ke sistem pemantauan kredit, dan awasi untuk memastikan tidak ada yang aneh terjadi. Lalu pergi ke akun penyimpanan cloud Anda, dan hapus semua file yang disimpan di sana. Lalu bersihkan dari fitur hapus atau riwayat apa pun. Faktanya adalah, Anda tidak akan bisa menyingkirkan mereka sepenuhnya; akan ada cadangan.

Dear internet, tolong pikirkan hal ini sebentar, dan mari kita kembali ke masa lalu ketika kita lebih skeptis. Semua laporan bank, kartu kredit, kartu toko, tagihan listrik, dan dokumen asuransi Anda di satu tempat? Apakah orang benar-benar berpikir itu hal yang baik untuk disimpan online, di cloud? Sayangnya, hari ini, sepertinya mereka lakukan. Dan itu hanya meminta masalah!

Bagaimana Anda tahu ada perusahaan yang sah? Situs web yang mencolok? Beberapa halaman web dengan kata-kata yang bagus di blog WordPress cepat pakai? Sertifikat SSL mewah tersedia untuk siapa saja yang mendaftarkan perusahaan? Beberapa siaran pers? Penjahat tidak akan menyebut layanan mereka "identitytheftasaservice.com". Internet penuh dengan orang-orang berbahaya, yang tidak memiliki niat terbaik Anda. FileThis kemungkinan adalah perusahaan terkemuka yang didirikan oleh pengusaha yang bersemangat. Kami benci memilih mereka seperti ini. Tetapi siapa yang tahu tentang perusahaan berikutnya, atau yang berikutnya setelah itu? Kami mendesak skeptisisme, bahkan sinisme.

Bagaimana menurut anda? Apakah Anda menggunakan layanan seperti ini? Apakah Anda kenal seseorang yang pernah? Bagikan pemikiran Anda di bawah ini.

Sumber: FileThis melalui AndroidPolice.