Dropbox má stále otázky, na ktoré treba odpovedať po tvrdeniach o nesprávnom zdieľaní údajov

Zmätok sa rozvíril po tom, čo minulý týždeň správa tvrdila, že služba na ukladanie súborov Dropbox poskytla údaje o tisíckach akademikov.

Ak ste to zmeškali, hlavné body výskumnej štúdie Northwestern University uverejnené na Harvard Business Review odhalili, že Dropbox im v priebehu dvoch rokov poskytol „prístup k údajom súvisiacim s priečinkami projektu“ od približne 400 000 používateľov na 1 000 univerzitách.

Výskumníci pôvodne tvrdili, že Dropbox im poskytol nespracované údaje, ktoré anonymizovali, ale ich správa bola aktualizovaná po ZDNet hlásené v pondelok že Dropbox povedal, že údaje pred odovzdaním anonymizoval.

Povedal Dropbox vo vyhlásení že jeho anonymizačný proces bránil vedcom vidieť akékoľvek osobné informácie, ale umožnil im analyzovať anonymizované údaje na vzory a poznatky.

Je to mätúca situácia -- a situácia, ktorá má akademikov právom nahnevaný v prvom rade boli zdieľané akékoľvek ich údaje, dokonca aj anonymizované. Vzhľadom na to, že akademici často pracujú na veľmi citlivých projektoch, uchovávanie údajov v cloude môže byť riskantné.

Niekoľko akademikov tweetoval sťažnosti, a ďalšie kontaktoval Dropbox za odpovede, márne.

Pred uverejnením sme kontaktovali Adama Paha a Briana Uzziho, ktorí sú autorom článku, ktorí neskôr odpovedali prostredníctvom firmy pre styk s verejnosťou a povedali: "Neexistoval žiadny problém s ochranou osobných údajov."

„Pred poskytnutím údajov výskumníkom a na ochranu súkromia používateľov Dropbox anonymizoval údaje tak, že akékoľvek identifikačné informácie o používateľovi boli trvalo nerozlúštiteľné. Článok teraz objasňuje túto otázku,“ uvádza sa v spoločnom vyhlásení výskumníkov.

Vzhľadom na to, že zo všetkých strán bolo málo konkrétnych odpovedí a obáv z dezinformácií, oslovili sme dnes Dropbox, aby sme informovali o niektorých problémoch, ktoré akademikov poškodili.

Požiadali sme Dropbox, aby odpovedal „on the record“ na približne tucet otázok. Dropbox ponúkol brífing na pozadí - čo by účinne zabránilo ZDNet priamo citovať spoločnosť alebo jej zástupcov. ZDNet odmietol toto brífing a znova požiadal o zodpovedanie našich otázok v zázname – buď e-mailom alebo telefonicky.

Dropbox požiadal, aby sme ich odpovede vytlačili v plnom znení - ktoré máme nižšie v úvodzovkách.

Pri vysvetľovaní spôsobu zdieľania údajov v prvom rade Dropbox povedal:

„Štúdia spadala do rozsahu našich zásad ochrany osobných údajov, ktoré stanovujú, že Dropbox a jeho dôveryhodné tretie strany môžu analyzovať zdieľanie s cieľom „poskytovať, zlepšovať, chrániť a propagovať naše služby“.

Inými slovami, ktokoľvek s účtom Dropbox súhlasil na základe prijatia zásad ochrany osobných údajov.

Je pravda, že Dropbox nie je prvou spoločnosťou, ktorá zdieľa svoje rozsiahle zásoby anonymizovaných údajov s akademickými pracovníkmi, ale dokonca aj anonymizované údaje môže byť chybný.

Pýtali sme sa aj na to, ako bola zjavne nesprávna správa vôbec zverejnená.

Príspevok spolupodieľala Rebecca Hindsová, manažérka podnikových štatistík Dropboxu, a bol tiež uverejnený v kratšom príspevku na Vlastný blog Dropboxu, ktorý sa podľa našich vedomostí nezmenil od prvého piatkového zverejnenia.

Dropbox povedal:

„Kým sme schválili úvodnú štúdiu, v procese úprav článku [Harvard Business Review] došlo k poruchám. Čiastočne bol opravený a pracujeme na ďalších aktualizáciách.“

Úsilie kontaktovať Hindsa bolo neúspešné; začiatkom tohto týždňa vymazala svoje účty na Twitteri a LinkedIn.

Kontaktovali sme aj Juliu Poncela-Casasnovas, postdoktorandku zo severozápadu, ktorá povedala v tweete bola pôvodnou autorkou článku, ale nepovedala, prečo jej meno nebolo uvedené ako vedľajší riadok v správe.

Hoci nevedela odpovedať na mnohé otázky, ktoré sme položili Dropboxu, Poncela-Casasnovas potvrdila, že sa pripravuje formálna oprava správy.

„Môžem však potvrdiť, že nikto z nás v Northwestern nikdy nevidel neanonymizované údaje Dropboxu,“ povedala. "Aj ja som bol ten, kto robil väčšinu analýz pre tento výskum počas práce v laboratóriu Briana Uzziho."

V správe sa uvádza, že výskumníci boli schopní vidieť informácie o „každom priečinku Dropbox“ prepojeného s ktorýmkoľvek daným výskumníkom a ako často k priečinku pristupoval ktokoľvek, kto je s ním spojený – ale Poncela-Casasnovas to vyvrátil v e-maile ZDNet.

„Ako som povedal, údaje boli anonymizované a agregované predtým, ako nám ich poskytli. To znamená, že neexistuje spôsob, ako to vrátiť späť, aby sme vedeli, kto boli subjekty,“ povedala."

Pridaný Dropbox:

„Štúdia sa začala v roku 2016 a využívala anonymizované údaje od mája 2015 do mája 2017. Dropbox použil kombináciu agregovanej aktivity zdieľania, ako aj verejne dostupných informácií poskytnutých NICO, aby vytvoril súbor údajov 16 000 výskumníkov pre štúdiu."

„Žiadny výskumník z Dropboxu alebo [Northwestern Institute on Complex Systems] nemal kedykoľvek prístup k žiadnemu používateľskému obsahu. Pre tento projekt mal výskumník Dropbox obmedzený prístup k obmedzenej podskupine metadát, ktoré boli relevantné pre štúdiu. Tento prístup bol auditovaný a skontrolovaný naším bezpečnostným tímom."

Dropbox neodpovedal na niektoré z našich otázok: Boli ovplyvnené bezplatné, platené alebo firemné účty? Ako Dropbox zistil, či anonymizovaný účet patrí výskumníkovi? A prebiehajú v súčasnosti nejaké ďalšie výskumné projekty Dropboxu alebo jeho partnerov?

Je to ďalšia pripomienka, že spoločnosti zhromažďujú a uchovávajú, ale aj generujú množstvo údajov o svojich zákazníkoch – jednoducho tým, že ponúkajú službu – a že ich zásady ochrany osobných údajov im často umožňujú robiť takmer všetko, čo chcú s tým.

Hoci zdieľanie súborov a stránky spolupráce sú užitočné pre výskumníkov pri zdieľaní nápadov a údajov, často ste vydaní na milosť a nemilosť zásadám ochrany osobných údajov spoločnosti.