员工使用 Dropbox 存在哪些安全风险？

这取决于你的业务和你的警惕性。为笔记本电脑配备 VPN 连接更安全，尽管成本更高。

真的很快……

一些风险：

• 前雇员在终止雇佣关系后可能会访问业务数据。如果您不希望某些心怀不满的员工在被解雇后访问数据，那么作为企业，您必须控制帐户...
• 这些服务将绕过您现有的任何自动文档保留机制，从而为您增加了另一个需要手动覆盖文档保留的区域。

建议：

• 确保您可以生成自己的加密密钥来存储数据，并且该密钥不会与服务提供商共享
• 确保你的数据在发送到服务存储库之前已加密
• 如果您要让个人拥有自己的帐户，那么请为您的公司指定一个联系人。通过此人（或几个人作为代理）协调所有帐户。或者确保提供商支持您可以以某种方式将员工分组到的企业帐户。

我会非常谨慎地处理这个问题。Dropbox 可以扩展到另一台计算机的硬盘。

该扩展比 USB 密钥更糟糕，因为一台 PC 上的病毒可以比 USB 密钥更轻松地感染使用该共享的所有其他 PC。病毒/木马/机器人编写者目前还未针对 Dropbox，但如果他们决定这么做，那么您就拥有了从安全网络上的公司控制 PC 到不安全网络上的不安全计算机的虚拟未锁定门。正如使用正常操作一样，人们不能直接穿过那扇门查看计算机上的其他内容 - 只能看到 Dropbox 内的项目，并且只能在该区域创建新项目，但这是假设 Dropbox 应用程序本身不会被破坏。

此外，Dropbox 声称具有很高的安全性，但您能证明什么呢？有人可能会从完全不同的 PC 远程潜入该窗口并尝试将受感染的文档和程序放到工作 PC 上。

显然，Dropbox 本身使用一种协议来与其客户端进行通信 - 它是否加密？它是否不受缓冲区溢出的影响？中间人攻击？嗅探？重放攻击？是否可以使用标准协议将文件放置在标准 Dropbox 区域内甚至区域外？如果协议存在缓冲区溢出，是否有可能以某种方式破坏它以允许完全访问机器？机器上的网络共享？

我认为风险不是很高，但造成的损害可能很严重，所以这是必须仔细考虑的事情。

-亚当

偏执？？？

老兄..离开网络..慢慢地..把你的手从键盘上拿开..现在就做！！！

基于文件共享云的“消费者”解决方案（如 Dropbox）并不适合企业或公司。微软在推出 Skydrive 时就曾表示，这类产品不适合、也不应该用于商业用途。

不这么做的理由有千万个，而应该这么做的理由却多于这么做的理由。

最大合法的安全风险之外的原因（使用条款规定第三方可以访问机密文件，因此，在基于消费者的服务上绝对不能存储任何机密信息。永远。。）事实是，Dropbox 之类的服务确实如此。让我问一下……这些文件存储在哪里？这些服务器位于哪里？您可以放心，最低出价者可以调用所谓的数据出口规则和法律……如果您有一个“美国政府可能认为对美国安全构成风险或潜在风险”的小文件（可能小到公共聚会场所、学校、健身房的电气布局图，密码或用户名，例如思科帐户，您可以在其中下载出口受限软件等）甚至机密文件，您就违反了该法律。您会入狱，不会通过……我相信现在，这是由联邦贸易委员会和国土安全部处理的……

DB 使用条款规定（基本上）如果将其安装在商用 PC 上（Dropbox 假定该人，因为在商用 PC 上安装的人通过点击 TOU 保证他们已安装），则“授权”个人将为整个公司这样做.. 句号...（第一部分位于 Dropbox.com/terms）

阻止我在服务器和工作环境之外使用它的原因仅仅是道德问题... 你有像 Skydrive 这样的消费产品，上面用大字写着“不做生意...不要！因为他们不想在商业层面上冒客户数据的风险，因为他们知道这是一种风险！然后 Flippin Dropbox 在他们的合同中使用法律词汇，例如“东西”这个词，他们把整个“安全问题”都说得天花乱坠，表现得好像这没什么大不了的（你愿意损失利润和宝贵的份额吗？可能不会......）....

这是一件大事...越多的安全组织恳求你和我遵循简单的做法，越多像 Dropbox 这样的大公司出现，为了钱...为了利润，表现得好像这没什么大不了的...

如果您的企业存储了信用卡号、姓名和有效期的一小部分信息，会怎么样？现在假设安装了 Dropbox 客户端的 PC 被 Dropbox 安全漏洞“入侵”了……跟踪我？Visa/Amex 等……这些拥有政府支持的大型银行公司（因为支付卡行业 (PCI) 标准是这么说的……他们……）会对您处以罚款……听着……您可能想坐下来……每次事件高达 500,000.00 美元……这足以让一家小型或中型企业破产……

解决这个问题的唯一方法是使用 PCI 认证的加密产品在数据进入 Dropbox 之前在本地加密数据，为所有远程设备购买许可证，下载所需的文件，然后在使用前对其进行解密..（听起来一点也不好玩……）（或者在服务器网络上加密数据，在网关处加密客户端的数据……）

有了这些，每位用户只需不到 20 美元（基本版约 11 美元），您就可以获得 Office365 E 系列计划，该计划已通过 HIPAA、SOX、ISO 和 PCI 认证......（Dropbox 隐藏在页面中，明确指出“目前”，但他们还没有......）

因此，尽管你心里想的很少，但请问问自己... 这真的值得冒这个险吗？而且，我认为，你想与一家对其产品相关风险掉以轻心的公司做生意吗？...

如果你从事技术工作，并且确实遭到了攻击，而你确实允许使用 Dropbox，那么冒着职业生涯的风险是否值得？你的名字出现在攻击旁边，上了新闻，你认为你还能被雇佣吗？作为一名 CTO，我可以向你保证，我这辈子都不会听到这背后的借口。我永远不会采访任何技术领域的人，他们自己的行为或决定导致任何规模的网络的数据泄露。是的，我们都会犯错，这就是为什么你在 IT 部门的工作就是尽你所能消除任何风险，无论大小。不要打开虫洞，然后大喊爱丽丝……）这对公关来说是一场灾难。对于一家企业来说，（如果竞争对手发现并泄露了你是谁……（喘息）你做了什么……并且增加雇用某人的责任，因为他们允许一个文件共享服务，而该服务公开承认并声明他们没有获得 PCI、SOX、ISO、HIPAA 或 PCI 认证

嗯...这由你来决定...这值得你牺牲职业生涯吗？这值得你损失公司或客户的数据吗？

对我来说.. 事实并非如此... 消费者使用消费品，而不是企业... 就是这样。

Dropbox 最近承认，他们不使用 SSL 在移动客户端和服务器之间传输文件元数据。出于性能方面的考虑，他们故意这样做。他们没有在网站上任何地方声明他们这样做。您可以在此处阅读相关内容：

https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop