Fechar Menu
Nosso Site
Blog

O armazenamento criptografado na nuvem é realmente seguro? Riscos associados a serviços como Sync, pCloud e outros sistemas com criptografia avançada.

giga workPor Nenhum comentário

Como escolher um serviço de armazenamento criptografado?

Os serviços de armazenamento em nuvem, como Dropbox e OneDrive, são incrivelmente convenientes. No entanto, também apresentam riscos significativos: cibercriminosos, agências governamentais ou até mesmo os próprios provedores podem acessar seus arquivos sem autorização. Para quem busca mais segurança, os serviços com criptografia de ponta a ponta (E2EE) são uma alternativa. Neles, seus arquivos são criptografados antes de serem enviados à nuvem, e a chave de criptografia permanece exclusivamente em sua posse. Mas será que essas soluções são realmente seguras?

Problemas na criptografia aplicada

Pesquisadores do Grupo de Criptografia Aplicada da ETH Zurich analisaram cinco serviços populares de armazenamento criptografado (Sync.com, pCloud, Icedrive, Seafile e Tresorit) e identificaram falhas preocupantes. Esses erros possibilitam manipulação ou acesso a partes dos dados armazenados, principalmente em cenários onde servidores maliciosos são usados.

Entre os problemas encontrados, destacam-se:

  • Sync.com: Manipulação de metadados, inserção de arquivos falsos e descriptografia de arquivos compartilhados por meio de links vulneráveis.
  • pCloud: Alteração e exclusão de dados, além da descriptografia de arquivos após um ataque.
  • Seafile: Redução do nível de segurança ao forçar o uso de protocolos antigos e plantação de arquivos comprometidos.
  • Icedrive: Alteração na estrutura de arquivos e inserção de fragmentos maliciosos.
  • Tresorit: Manipulação de metadados, incluindo dados de autoria.
  • Nextcloud e MEGA: Acesso às chaves de criptografia, permitindo descriptografar arquivos armazenados.

Embora a criação de servidores maliciosos seja uma tarefa complexa, ataques recentes mostram que comprometer grandes provedores é viável. Isso levanta preocupações sobre a verdadeira resiliência do E2EE em cenários adversos.

Correções e desafios

Corrigir essas falhas requer não apenas atualizações nos aplicativos e servidores, mas também recriptografar arquivos já armazenados. Esse processo é caro e depende da colaboração dos usuários, dificultando uma solução imediata.

Respostas dos serviços:

  • Sync.com: Comprometeu-se a resolver as falhas após pressão da imprensa.
  • Tresorit: Planeja soluções para 2025, mas com menor urgência devido à gravidade reduzida das falhas.
  • Seafile: Corrigiu algumas vulnerabilidades, mas sem abordar todas.
  • Icedrive: Optou por não corrigir os problemas.
  • pCloud: Considerou os ataques teóricos e não tomou medidas imediatas.
  • Nextcloud: Atualizou sua criptografia na versão 3.12.
  • MEGA: Adotou verificações no lado do cliente para mitigar riscos.

O que você pode fazer?

Embora as vulnerabilidades não representem uma ameaça massiva imediata, é importante avaliar suas necessidades:

  1. Sensibilidade dos dados: Quão confidenciais são as informações que você armazena?
  2. Facilidade de migração: Qual o volume de dados e sua capacidade de mudar para outro serviço?
  3. Colaboração: Recursos de compartilhamento e trabalho conjunto são indispensáveis para você?

Se a colaboração não for essencial e os dados forem críticos, considere criptografá-los localmente antes de enviá-los à nuvem. Isso pode ser feito por meio de contêineres criptografados ou arquivos compactados com senha forte.

Para quem precisa de colaboração e segurança, serviços como Tresorit, MEGA e Nextcloud são as melhores opções, conforme apontado pelos estudos. Contudo, caso nenhum deles atenda sua demanda, use outros serviços criptografados com precauções extras:

  • Evite armazenar dados extremamente confidenciais.
  • Atualize os aplicativos regularmente.
  • Faça auditorias frequentes em seus dados armazenados.

Conte com a Giga Work Solutions

Na Giga Work Solutions, estamos preparados para atender às suas demandas de armazenamento e segurança. Nosso compromisso vai além de identificar riscos: ajudamos sua empresa a implementar soluções robustas e adaptadas às suas necessidades. Quer você esteja buscando proteger dados sensíveis, integrar colaboração segura ou gerenciar grandes volumes de informação, temos as ferramentas e a expertise necessárias.

Giga Work News é mais do que um blog informativo — é seu guia para navegar no universo da segurança digital. Fique atento às nossas próximas postagens para mais insights sobre como proteger seus dados e otimizar suas operações.

Compartilhar.

Postagens relacionadas

Adicionar um comentário
Deixar uma resposta