Fondata nel 2009, WeTransfer consente agli utenti di trasferire gratuitamente file di grandi dimensioni. Si tratta di un’alternativa ai servizi di posta elettronica, che in genere pongono limitazioni alle dimensioni del file. I suoi utenti sono 50 milioni, mentre sono un miliardo di file quelli inviati ogni mese, pari a un petabyte (1.000 terabyte) di dati.
Il servizio, che e diventato redditizio nel 2013, fornisce la sua versione gratuita attraverso un modello pubblicitario. Offre inoltre un servizio “Plus” a pagamento che consente agli utenti di proteggere i propri file con password.
Il 21 giugno 2019 WeTransfer ha pubblicato un avviso di sicurezza relativo a un incidente scoperto cinque giorni prima, lunedi 17 giugno 2019.
Secondo l’avviso, il problema si e verificato gia il 16 giugno 2019, e aggiunge:
le e-mail che supportano i nostri servizi sono state inviate a indirizzi e-mail non voluti. Attualmente stiamo avvisando gli utenti potenzialmente interessati e abbiamo informato le autorita competenti.
Inoltre la societa ha comunicato di aver bloccato i link e gli account degli utenti.
Lo stesso giorno in cui e apparso l’avviso di sicurezza, Jamie Brown, CEO del sito di moda Chicmi, ha twittato una notifica diretta che WeTransfer gli aveva inviato:
La parte spaventosa:
Abbiamo appreso che anche il trasferimento di file inviato o ricevuto e stato consegnato ad alcune persone a cui non era destinato. I nostri documenti mostrano che questi file sono stati scaricati, ma quasi certamente dal destinatario corretto.
“Quasi certamente” non e esattamente rassicurante.
Brown ha dichiarato a Naked Security che l’incidente ha colpito una serie di foto che un cliente gli aveva inviato il 16 giugno 2019. Ha aggiunto:
Per fortuna utilizziamo principalmente WeTransfer per l’invio e la ricezione di foto di brand da utilizzare su Chicmi.com, quindi sono per lo piu destinate al pubblico dominio e il peggio che potrebbe accadere e la violazione di un embargo per un evento imminente.
Tuttavia sono sicuro che altri non sono cosi rilassati riguardo alla questione, tenendo presente il modo in cui viene utilizzato il servizio!
Il servizio rivale Tresorit e stato veloce a cavalcare l’incidente:
Anche se sta ovviamente cercando di promuovere il proprio servizio, Tresorit ha ragione. La crittografia end-to-end impedirebbe a chiunque altro se non al mittente e al destinatario di un file di vederlo. Dovrebbe essere applicata correttamente, pero.
Il problema con i file di protezione delle password e che si tratta di una forma di crittografia simmetrica, in cui il mittente e il destinatario di un file utilizzano la stessa chiave privata per accedere al file. Il mittente non puo inviare la chiave e il file in modo sicuro tramite lo stesso canale perche un intercettatore potrebbe carpire sia il file che la chiave. Invece, hanno bisogno di condividere la chiave privata incontrandosi di persona o attraverso un canale alternativo come un messaggio di testo o una telefonata. Questo crea i suoi problemi di sicurezza e usabilita.
La crittografia asimmetrica (chiave pubblica) e piu complessa ma anche piu sicura perche utilizza due chiavi digitali per ciascun utente: una privata (segreta) che non viene mai inviata tramite alcun canale e una pubblica (non segreta).
Il mittente di un file utilizza la chiave pubblica del destinatario (visualizzabile da chiunque) per crittografarlo. Solo la chiave privata del destinatario puo decodificarlo. Fintanto che il destinatario mantiene la propria chiave privata al sicuro, puo leggere un messaggio codificato con la propria chiave pubblica e tenere cosi lontani i possibili intercettatori.
Il mittente inoltre puo provare la propria identita codificando il file con la propria chiave privata. Quindi, il destinatario deve eseguire un ulteriore passaggio, decifrando il messaggio con la chiave pubblica del mittente. Cio dimostra che solo il mittente avrebbe potuto inviare il messaggio.
La sfida con la crittografia asimmetrica e creare un prodotto che sia abbastanza facile da usare, nascondendo tutta la complessita all’utente. Il vantaggio e che anche se il servizio di trasferimento di file fa confusione e invia i file alla persona sbagliata, essi non saranno leggibili.
Cosi com’e, la versione gratuita di WeTransfer non protegge i suoi file con alcuna chiave privata, ed e per questo che il malfunzionamento dell’e-mail e cosi problematico.
Esistono servizi alternativi che offrono la crittografia end-to-end, come Mozilla Firefox Send, lanciato ufficialmente nel marzo 2019 dopo un periodo di prova di due anni. Esso utilizza l’API Web Crypto, che si basa sulla crittografia asimmetrica. Ti consente di inviare file di dimensioni di 2,5 GB se hai un account Firefox o 1 GB se non ce l’hai.
4909 Murphy Canyon Road Suite, 500
San Diego, CA 92123
Store
Company
Support
Newsletter
