على مخاطر البيانات الخاصة بك في السحابة

في كثير من الأحيان لا أنظر إلى منتج أو خدمة وأقول " آمل حقًا ألا يكون هذا حقيقيًا ". حان الوقت لإلقاء نظرة على شيء برز على راداري اليوم ، ألا وهو خدمة تسمى FileThis. سيجدهم بحث سريع ، وتطبيقهم على متجر Play Store ومتجر iTunes.

مع انتشار النظام الإيكولوجي "السحابي" للشركات المبتدئة الممولة من رأس المال الاستثماري ، وكلها تحاول أن تجعل حياتك أسهل (غالبًا مع نماذج الأعمال التي تعتمد على بيع بياناتك) ، لماذا تفرد FileThis؟ بكل بساطة ، نحن نتساءل عما إذا كان يتم تقديم خدمة جيدة للمستهلكين من خلال الوثوق في الشركات الناشئة مثل FileThis ، والذي يمثل مثالًا خطيرًا بشكل خاص على خدمة تتطلب الوصول إلى أكثر كلمات المرور والمعلومات حساسية.

ما هذا؟

يهدف FileThis إلى جعل الحياة أسهل من خلال مساعدة الناس على أن يصبحوا منظمين. ويقومون بذلك عن طريق استرداد كشوف الحساب البنكي وشهادات التأمين وفواتير بطاقات الائتمان وتفاصيل الاستثمارات وفواتيرها وتخزينها في السحابة. إنها مكشطة ويب بشكل فعال (على حد تعبير مراجعة World PC Review of it ، ابتداءً من 7 يناير). باستثناء هذا ليس مثل أي مكشطة ويب أخرى. إنها مكشطة ويب توفر لها معلومات تسجيل الدخول الخاصة بحساباتك المصرفية وبطاقات الائتمان الخاصة بك. في الواقع ، يزعم FileThis أنه يدعم "أكثر من 400" مصادر مختلفة من الأوراق ، والتي يمكنهم استردادها والاحتفاظ بها نيابة عنك. لكي نكون منصفين ، FileThis ليست الخدمة الوحيدة التي توفر وظائف مماثلة. تم شراء Mint.com ، التي تلغي حسابات البنوك والوساطة المالية وبطاقات الائتمان ، من قبل شركة Intuit مقابل 170 مليون دولار في عام 2009. ومنذ ذلك الحين ، انطلقت مساحة تجميع المعلومات.

وماذا في ذلك؟

المشكلة الأساسية في جمع كل هذه البيانات المصرفية وبطاقات الائتمان ، ووثائق بوليصة التأمين ، وغيرها من الفواتير (مثل فواتير العقود التعاقدية والأقمار الصناعية الاشتراك أو الكابل) ، هي أن المستخدمين قد أدخلت نقطة واحدة من الفشل في وجودها المالي. لقد قدمت كل كلمات مرورك لشركة خاصة. لكن من هم؟ لماذا يجب أن تثق بهم؟ هل تقوم بتسليم بياناتك المصرفية إلى ذلك الرجل الذي يقف خارج محطة المترو في طريقك إلى العمل؟ هل ستقدم مستندات التأمين الصحي الخاصة بك (والتي يمكن أن تتضمن بسهولة تفاصيل المطالبات) إلى المتسول المستعبد مع الجيتار خارج ستاربكس؟ مثل معظم الأعضاء ، أنا مستخدم ساخر للإنترنت. أنا أعلم أن الحيل موجودة. يمكنني البحث بشكل معقول عن الشركات التي تطلب معلوماتي الشخصية. إنحيازي هو تقديم هذه المعلومات إلى أقل عدد ممكن من الكيانات. في ما يلي تحليلي (الساخر) لسبب الوثوق في خدمة مثل FileThis هو قرار مشكوك فيه. ليس لدي أي دليل قوي على أن FileThis لديه أي تصميمات سلبية على بياناتك ، فقط إشارات حمراء. لكي نكون منصفين ، يمكنني أن أضع تحليلًا مشابهًا لعشرات من الشركات الناشئة ، لكن المعلومات التي يطلبها FileThis هي بيانات خاصة.

لذلك ، من هو FileThis؟ فحص Whois على مجالهم لا يكشف عن الكثير. ويؤكد أن المجال مسجل من قبل "Loyal Bassett" من "FileThis.com". ضع هذا الاسم في الاعتبار ، سنعود لاحقًا. لا يوجد عنوان فعلي محدد ، ويتم استضافة الموقع على البنية التحتية لشركة Amazon. المكافئ الحقيقي لهذا العالم هو "لا يوجد مقر ثابت".

حفر حفرة أعمق

مع الوحي أعلاه ، أخذت الأمور أكثر من ذلك بقليل: لديهم شهادة EMV SSL ، مما يعني أنه تم التحقق من وجودهم المؤسسي من قبل سلطة الشهادة التي أصدرت الشهادة. للأسف ، هذا يعني القليل ؛ يمكن تشكيل وإغلاق شركات جديدة بتوقيع بعض النماذج. في النهاية ، توقفت عن محاولة العثور على المزيد حول مكان وجودهم ونظرت أكثر في كيفية تمويلهم.

اتضح أن FileThis ليس مجرد شركة قديمة ، بل شركة خاصة ، تمول ديونها في الوقت الحالي بمبلغ يصل إلى 1.4 مليون دولار. هل تعطي فواتير بطاقات الائتمان والبيانات المصرفية الخاصة بك لشخص مدين بمليون دولار؟ على الرغم من أنه لا يوجد ما يشير إلى النوايا السلبية من جانب الشركة ، إلا أنك لن تفعل ذلك شخصيًا ، فلماذا لشركة مجهولة على الإنترنت؟ في حين أن الديون القابلة للتحويل هي وسيلة نموذجية إلى حد ما لتمويل شركة في مرحلة مبكرة ، فإن الشركات الناشئة محفوفة بالمخاطر. حتى استبعاد أي خطر للنوايا الشائنة ، تفشل الشركات الناشئة ، أو إجازة المؤسس ، أو بيع الشركات للخردة ، وحتى أفضل أمان يمكن أن يفشل. أنت فقط لا تعرف أين ستنتهي بياناتك.

في عملية التحقيق في تمويلهم ، صادفت ملفهم لدى لجنة الأوراق المالية والبورصة ، والتي أكدت على الأقل وجودهم الفعلي. ولكن حتى هذا الايداع لم يكن بالضبط المقبلة. ومن المثير للاهتمام ، يعرض موقع الويب الخاص بهم فريق الإدارة الخاص بهم. لا أحد منهم هو "Loyal Bassett" المذكور أعلاه والذي يبدو أنه يمتلك مجال الإنترنت الخاص به. بعد الاطلاع على سيرتهم الذاتية الموجزة ، من الواضح أنهم أقاموا متجرًا مع:

  • "محارب قديم يبلغ 25 عامًا في صناعة البرمجيات ورجل أعمال متحمس" ... دون الإشارة إلى أي تجربة محددة في مجال الأمن أو الخصوصية
  • مبرمج سابق في Adobe حاصل على درجة البكالوريوس في علوم الكمبيوتر من جامعة حكومية يتلاعب بما يبدو أنه كل الترميز في الشركة بأكملها ، بما في ذلك الأمن
  • رجل التسويق

يشبه ذلك تقريبًا بداية النكات السيئة التقليدية - ثلاثة من الأشخاص الأقل احتمالًا لحماية بياناتك الخاصة ، يطلبون منك تسليم كلمات المرور المصرفية عبر الإنترنت. ومن الواضح أن المبرمج ، القادم من Adobe ، لن يرتكب أية أخطاء ... أبدًا ... لا سيما الأخطاء الأمنية ...

مشاكل أخرى؟

شيء آخر يستحق النظر فيه هو ما إذا كان استخدام خدمة مثل FileThis يستحق التكلفة الإضافية للمخاطر المالية على حياتك. من المحتمل أن تكون مسؤولاً عن أي معاملات يتم تنفيذها باستخدام بيانات اعتماد تسجيل الدخول إلى حسابك المصرفي. غالبًا ما يخالف الشروط والأحكام إعطاء تفاصيل تسجيل الدخول لأي شخص آخر. وبالمثل ، فإن ضمانات المسؤولية عن منع الاحتيال (مثل تلك التي يوفرها بنك أوف أميركا) ، تنص على وجه التحديد على "عدم مشاركة المعلومات الشخصية أو معلومات الحساب مع أي شخص."

من خلال منح بيانات اعتماد تسجيل الدخول إلى المصرف الذي تتعامل معه ، فإنك تعرض نفسك لخطر سرقة الهوية. أي شخص يمكنه الوصول إلى التخزين السحابي الخاص بك يمكنه الوصول إلى جميع البيانات والسياسات والمستندات الشخصية. هل يمكنك تحميل بياناتك المصرفية إلى Dropbox (ومرة أخرى) أو Evernote (مرة أخرى) أو Box؟ قد يكون الخطر صغيراً ، لكنه حقيقي. يشير FileThis إلى موظف واحد فقط يدعي أي نوع من مؤهلات الحوسبة. يبدو أنه يزيح الأمن مع العديد من المهام الأخرى. هل هذا يكفي لحماية بياناتك؟

التشفير؟

مثل العديد من الخدمات ، يزعم FileThis تشفير البيانات الخاصة بك. في الواقع ، فإنها تعطي في الواقع بعض التفاصيل الفنية المحيطة بهذا. ولكن من خلال القراءة من خلال موقعه على الويب ، نكتشف الثغرات المحتملة. لا يوجد ذكر على الإطلاق حول التشفير عند النظر في مطالباتهم بدعم Box أو Dropbox. كلاهما (كما ذكر أعلاه) لديهم أقل من الماضي الأمني ​​النجمي ، Dropbox على وجه الخصوص! يدعم FileThis المزامنة مع Personal (ويبدو أن Personal يستخدم التشفير لتخزين بياناتك) ، ولكن كما هو الحال مع معظم المنتجات المستندة إلى مجموعة النظراء والتي تدعي أنها توفر التشفير ، فإن خادم الويب قادر على إظهار بياناتك في المتصفح ، مما يعني أن المفاتيح متوفرة إلى المزود. وليس من المستغرب ، بالنظر إلى الموقف في Dropbox و Box ، أن تكامل Google Drive لا يشفر بياناتك.

نظرًا لأنه يمكنك الوصول إلى بياناتك عبر موقع FileThis على الويب ، فمن الواضح أنها تمتلك مفاتيح التشفير اللازمة لفك تشفير هذه المعلومات وعرضها. هذا يعني أنه إذا فقدوا المفاتيح أو سُرقت تلك المفاتيح أو تعرضت خدمتها للخطر ، فإن سرقة الهوية تصبح مخاطرة.

في البنود والشروط ، FileThis تنص على ذلك

حماية مستنداتك وكلمات مرور حسابك وأسماء المستخدمين أمر مهم للغاية بالنسبة لنا. نحن نبذل قصارى جهدنا للتأكد من أنها آمنة ضد الوصول غير المصرح به والكشف عنها باستخدام مجموعة متنوعة من إجراءات وإجراءات التوثيق والتشفير والأمن. ومع ذلك ، في عصر الإنترنت ، لا يوجد ضمان 100 ٪ لهذا الأمن وأنت تفهم هذا وتوافق على تقديم الخدمة "AS-IS" وبدون ضمان أو ضمان.

كمقياس للثقة التي تتمتع بها FileThis في احتياطاتها الأمنية ، يستخدم جميع ضباط FileThis خدمتنا بالطريقة التي تريدها.

إذا كان استخدام FileThis شرطًا أساسيًا للعمل بالنسبة لهم ، فيمكنني بالتأكيد أن أقول إن ثقة موظفهم في منتجهم عالية للغاية. الكود ليس مفتوح المصدر ، لذلك لا يمكن تدقيقه بحثًا عن عيوب. هذه الخدمة هدف كبير - إذا حصلت على كلمة مرور ، فستفوز بالجائزة الكبرى لسرقة الهوية النهائية - الهوية الشخصية الكاملة لشخص ما ، بما في ذلك جميع المستندات التي قد تحتاج إليها للتقدم بطلب للحصول على البطاقة الائتمانية والائتمان باسمها ، أو حتى التصديق عليها البنك لأنفسهم. عندما يطلب البنك الذي تتعامل معه الحصول على معلومات حول المعاملة السابقة للأمان ، يمكن لأي شخص لديه حق الوصول إلى بياناتك توفير هذا! وهذا يشمل أي شخص لديه حق الوصول إلى بيانات "السحابة" الخاصة بك.

الحديث الملتوية

نجد أيضًا أن technobabble على الموقع غير مقنع. يقولون في صفحة الأمان الخاصة بهم ذلك

يتم تشفير بيانات اعتماد حساب FileThis الخاص بك ، وجميع اتصالات حسابك من لحظة إدخالها. على خوادمنا وفي قاعدة بياناتنا ، يتم تشفير بيانات اعتمادك باستخدام تشفير AES 256 بت ، وهو أعلى معيار تشفير متاح اليوم. خلاصة القول: حتى لو تمكن المتسلل من الوصول إلى بيانات اعتمادك على خوادمنا (لا يمكنهم ذلك) ، فسيكون من المستحيل عليهم قراءة أي من البيانات.

حسنًا ، دعنا نأخذ ذلك بالقيمة الاسمية ونفترض أن أمانهم جيد! المشكلة هي أن خدمتهم تصل إلى بيانات الاعتماد الخاصة بك من أجل تسجيل الدخول إلى تلك المواقع واسترداد البيانات الخاصة بك. يمكن لأي شخص يقتحم خوادمه الوصول إلى المحتويات التي تم فك تشفيرها ، حيث سيكون له حق الوصول إلى الطلبات المقدمة إلى الأنظمة البعيدة (البنوك والشركات الأخرى). نظرًا لأن FileThis يمكنه البحث عن مستندات جديدة عندما لا تكون متصلاً بالإنترنت وتسجيل الدخول ، فهي لا تتطلب كلمة المرور الخاصة بك للوصول إلى بيانات حسابك ، مما يعني أنها تملك المفاتيح لفك تشفير البيانات الموجودة في قاعدة بياناتها. يتم تشفير البيانات الخاصة بك هناك ، وذلك باستخدام المفتاح الذي يتم الاحتفاظ به داخل بنيتها التحتية. هذا ببساطة لا يكاد يكون آمنًا كما يوحي!

إذا قام شخص ما بالدخول ، فسيحصل على كلمات مرور حسابك ويكون قادرًا على معرفة الحسابات التي تقوم بالمزامنة معها. إذا قمت بمزامنة بياناتك خارجيًا (مع حسابات سحابية أخرى) ، فقد لا يتم الاحتفاظ بها على أنظمة FileThis ، ولكن لا يزال بإمكان المهاجمين الوصول إلى البيانات "قيد العبور" (يمكن للمهاجم أن يتسلل إلى هذه الملفات عن طريق إجراء وصول ثانٍ إلى الملفات مباشرة بدلاً من نقلها إلى خدمة التخزين السحابية التي تستخدمها).

إن وجود شركات مثل هذا يثبت ثقة الجمهور العام (وربما الغبي) في "السحابة". أستطيع أن أتخيل خدمة ، تبدو وتشبه هذه الخدمة بشكل ملحوظ ، وهي في الواقع خدعة أو مصيدة عفن شديدة السرقة لسرقة هويات الأشخاص: من يقول أن الجرأة لا تعمل؟ فقط اطلب من المستخدمين تفاصيلهم ، ثم لا يمكن اتهامك بسرقة!

وبقدر ما أكره أن أبدو مثل الكلمة الرئيسية لإطلاق منتج Apple ، فهناك حقًا المزيد! من شروط وشروط الخدمة للشركة:

لأغراض شروط الاستخدام هذه ولتوفير معلومات الحساب فقط لك كجزء من الخدمة ، فإنك تمنح FileThis توكيلًا محدودًا ، وتعيين FileThis كمحامٍ لك وكوكيل ، للوصول إلى مواقع الطرف الثالث ، استرجع معلومات حسابك واستخدمها مع السلطة الكاملة والصلاحية للقيام بكل شيء ضروري للقيام به وتنفيذه فيما يتعلق بهذه الأنشطة ، كما يمكنك فعله شخصيًا. أنت تدرك أن الخدمة ليست مدعومة أو معتمدة من قبل أي أطراف ثالثة يمكن الوصول إليها من خلال الخدمة.

إذن هناك تذهب! لقد عينت للتو توكيلًا قانونيًا على بعض جوانب أموالك على الأقل! هل أدركت أنه بإمكانك منح شخص ما توكيلًا من خلال اتفاقية التفاف النقرات؟ كلا؛ ولا أنا! بالطبع ، هذا تنبعث منه رائحة مثل المحامين يركضون. يوجد على الأقل بعض الغموض فيما يتعلق بالحقوق التي تنص هذه الاتفاقية على منحها لـ FileThis: فأنت تعينهم القدرة على "استخدام معلومات حسابك بالسلطة الكاملة والسلطة" لفعل ما ، بالضبط؟ هل يمكنهم استخدام معلوماتك لاستنزاف حسابك؟ على الرغم من أنني لا أعتقد للحظة أن اتفاق التوكيل هذا من شأنه أن يحكم حتى أقل القضاة ميلاً من الناحية الفنية ، إلا أنه من المؤسف أن الناس لا يشككون في ذلك قبل النقر فقط من خلال!

ماذا لو كنت العمل؟

FileThis لا تحاول فقط استهداف المستهلك الساذج وأقل ميلًا من الناحية التكنولوجية. تعرض خدمتهم "Pro" (نظريًا) المستشار المالي أو المحاسب أو المستشار الضريبي الخاص بك إلى مخاطر مماثلة حيث يتم تشجيعهم على استخدام FileThis لتخزين بيانات عملائهم. إذا كان هناك منجم بيانات للهجوم ، فهذه هي. تعد البيانات المحفوظة داخل حسابات هؤلاء المحاسبين (وليس علماء الكمبيوتر ، ومن غير المرجح أن يختاروا كلمة مرور جيدة) قيمة للغاية للجهات الفاعلة السيئة.

يطابق مفهوم FileThis (و FileThis Pro) بأكمله في مواجهة الأحداث الأخيرة التي يتمكن المجرمون من الوصول إلى حسابات الأشخاص الآخرين على "التخزين السحابي" وسرقة ملفاتهم. ولا يهم كيف يتم ذلك - بمجرد سرقة بياناتك المصرفية أو فواتير بطاقات الائتمان / المرافق ، تكون هويتك في خطر. لا يهم من يقع اللوم ، قد يتم تدمير رصيدك. يمكن أن يكون التعافي صعبًا. إذا وجدت هذه البيانات طريقها إلى سيل ، فستكون متاحة لفترة طويلة. الإزعاج سيكون كبيرا.

التقريب

إذا كنت قد استخدمت FileThis ، فإني أحثك ​​على النظر في هذا القرار بعناية. إذا قررت الإلغاء ، فأرسل إليهم رسالة بريد إلكتروني للتأكد من أنهم قاموا بالفعل بإزالة كل شيء. ثم انتقل إلى كل مزود حساب وإعادة تعيين كلمات المرور الخاصة بك. قم بتسجيل الدخول إلى نظام مراقبة الائتمان ، وتراقب لضمان عدم حدوث أي شيء غريب. ثم انتقل إلى حسابات التخزين السحابي وحذف أي ملفات تم تخزينها هناك. ثم تطهيرها من أي ميزات الحذف أو التاريخ. الحقيقة هي أنك لن تكون قادرًا على التخلص منها تمامًا ؛ سيكون هناك نسخ احتياطية.

عزيزي الإنترنت ، يرجى التفكير في هذا لمدة دقيقة ، ودعونا نعود إلى الأيام الخوالي عندما كنا أكثر تشككا. هل جميع بياناتك المصرفية وبطاقات الائتمان وبطاقات المتجر وفواتير الخدمات ووثائق التأمين في مكان واحد؟ هل يعتقد الناس حقًا أنه من الجيد تخزينه عبر الإنترنت في السحابة؟ للأسف ، اليوم ، يبدو أنهم يفعلون. وهذا فقط يسأل عن المتاعب!

كيف تعرف أن أي شركة شرعية؟ موقع مبهرج؟ بعض صفحات الويب جيدة الصياغة في مدونة WordPress سريعة الصنع؟ شهادة SSL الفاخرة المتاحة لأي شخص يسجل شركة؟ بعض البيانات الصحفية؟ المجرمون لن يطلقوا على خدمتهم "Identitheftasaservice.com". الإنترنت مليء بالأشخاص الخطرين ، الذين ليس لديهم أفضل نواياكم. من المحتمل أن يكون FileThis شركة ذات سمعة جيدة أسسها رواد أعمال متحمسون. نحن نكره عزلهم بهذا الشكل. ولكن من يدري عن الشركة القادمة ، أو الشركة التالية بعد ذلك؟ نحن نحث الشكوك ، حتى السخرية.

ما رأيك؟ هل تستخدم خدمة مثل هذه؟ هل تعرف أي شخص لديه؟ مشاركة أفكارك أدناه.

المصدر: FileThis عبر AndroidPolice.