Ho avuto l'idea di creare un plug-in per uno dei miei client di posta elettronica in cui i miei utenti saranno in grado di caricare e amp; eseguire la scansione degli allegati utilizzando il servizio VirusTotal , ma di nuovo ero preoccupato per la loro privacy e sicurezza nel caricare file personali che potrebbero essere stati esposti a qualcuno.
La mia domanda qui è; quanto è sicuro caricare file personali, potrebbero essere esposti a qualcuno al di là del proprietario di VirusTotal ?
Gli abbonati a pagamento a virustotal possono scaricare file caricati da altri. Se consideri questo ancora sicuro per i tuoi utenti dipende da ciò che consideri sicuro.
Vedi anche la loro Norme sulla privacy che dice chiaramente:
Information we share
When you submit a file to VirusTotal for scanning, we may store it and share it with the anti-malware and security industry ... Files, URLs, comments and any other content submitted to or shared within VirusTotal may also be included in premium private services offered by VirusTotal to the anti malware and ICT security industry
Tuttavia, penso che la tua idea di offrire un accesso più semplice a un servizio utile direttamente dal client di posta abbia senso. Vorrei comunque raccomandare di aggiungere un avvertimento facile da capire ma non facile da ignorare sulle implicazioni sulla privacy prima che l'utente carichi un file. E potrebbe essere meno invasivo verificare prima se l'hash esiste già in VT prima di caricare un file (e non caricare se hash è noto a VT).
Idealmente, inoltre, puoi semplificare agli utenti di rimuovere un file accidentalmente condiviso (grazie a @Mirsad per questo suggerimento in un commento).
Non consiglierei di caricare file contenenti informazioni sensibili. Password, note personali o altre forme di dati che possono identificarti come persona o esporre la tua privacy. Come Steffen ha menzionato nella sua risposta, i file possono essere scaricati dagli utenti premium, il che significa che i file e il suo contenuto saranno disponibili per altri utenti. Di solito, leggere l'informativa sulla privacy del sito web ti aiuta a cogliere l'idea generale di cosa faranno con i dati.
Sì, i file vengono esposti a persone al di fuori degli amministratori di VT.
Virustotal Premium consente il download di file e la "caccia" - che comporta la scrittura di regole YARA per abbinare i file di tutto ciò che è stato caricato su VT (ad esempio, posso cercare i file che hanno una stringa "privata", vengono avvisati ogni volta il file viene caricato su VT e scaricato da solo). Avere il servizio Premium è molto comune per i team di sicurezza e le aziende.
Come già accennato, le informazioni sono condivise con altre comunità. Quindi, se esiste il rischio che i documenti privati possano essere caricati, non implementerei questa funzione.
Per prima cosa, leggi attentamente questo articolo: Società di sicurezza accusata di aver esposto terabyte di dati dei clienti , ti dice perché non dovresti commettere lo stesso errore.
La regola empirica di utilizzare VirusTotal per proteggere la privacy dei propri file è quella di inviare un hash sha256 al database. Inoltre, si dovrebbe sottoscrivere un importante "business edition" antivirus che eseguirà la scansione del file utilizzando un motore di scansione dei virus localizzato.
"how safe is it to upload personal files, could they got exposed to someone beside owner of VT?".
Tutti sul percorso possono vederlo. Se non è crittografato, possono leggerlo. Se è crittografato, potrebbe essere in grado di decrittografarlo. Se VT ha un dipendente canaglia o vengono violati, i tuoi dati possono essere esposti.
Non lasciare mai uscire le informazioni private se vuoi tenerle per te. Allo stesso modo non mettere nulla sul tuo telefono, portarlo da qualche parte in attesa di non perderlo, e poi perderlo e tutte le tue password, foto, informazioni bancarie, ecc.
Lo stesso vale per qualsiasi altro, non per VT in particolare.
Leggi altre domande sui tag privacy