Se me ocurrió crear un complemento para uno de mis clientes de correo electrónico donde mis usuarios podrán cargar & escanee los archivos adjuntos utilizando el servicio VirusTotal , pero nuevamente me preocupé por su privacidad y seguridad al cargar archivos personales que pueden haber estado expuestos a alguien.
Mi pregunta aquí es; ¿Qué tan seguro es cargar archivos personales, podrían exponerse a alguien que no sea el propietario de VirusTotal ?
Las suscripciones pagadas a virustotal pueden descargar archivos cargados por otros. Si considera que esto sigue siendo seguro para sus usuarios, depende de lo que considere seguro.
Consulte también su Política de privacidad que dice claramente:
Información que compartimos
Cuando envía un archivo a VirusTotal para su análisis, podemos almacenarlo y compártelo con la industria antimalware y de seguridad ... Los archivos, las URL, los comentarios y cualquier otro contenido enviado o compartido dentro de VirusTotal también pueden incluirse en los servicios privados premium ofrecidos por VirusTotal para el anti malware. y la industria de seguridad de las TIC
Aún así, creo que su idea de ofrecer un acceso más simple a un servicio útil directamente desde el cliente de correo tiene sentido. Sin embargo, le recomendaría que agregue una advertencia fácil de entender pero no fácil de ignorar sobre las implicaciones de privacidad antes de que el usuario cargue un archivo. Y podría ser menos invasivo comprobar primero si el hash ya existe en VT antes de cargar un archivo (y no cargar si el hash es conocido por VH). Lo ideal es que también facilites a los usuarios eliminar un archivo compartido accidentalmente (gracias a @Mirsad para esta sugerencia en un comentario).
No recomendaría subir archivos que contengan información confidencial. Contraseñas, notas personales u otras formas de datos que pueden identificarlo como persona o exponer su privacidad. Como Steffen mencionó en su respuesta, los archivos pueden ser descargados por usuarios premium, lo que significa que los archivos y su contenido estarán disponibles para otras personas. Por lo general, leer la política de privacidad del sitio web lo ayuda a comprender el concepto general de lo que van a hacer con los datos.
Sí, los archivos se exponen a personas ajenas a los administradores de VT.
Virustotal Premium permite descargar archivos y "buscar", lo que implica escribir reglas YARA para que coincidan con los archivos de todo lo que se ha cargado en VT (por ejemplo, puedo buscar archivos que tengan una cadena "privada", recibir alertas cada vez que el archivo se carga en VT y los descargo yo mismo. Tener el servicio Premium es muy común para los equipos de seguridad y las empresas.
También como ya se mencionó, la información se comparte con otras comunidades. Por lo tanto, si existe el riesgo de que se puedan cargar documentos privados, no implementaría esta función.
Primero, lea este artículo detenidamente: Firma de seguridad acusada de exponer terabytes de datos del cliente , te dice por qué no debes cometer el mismo error.
La regla empírica de usar VirusTotal para proteger la privacidad de los archivos es enviar un hash sha256 a la base de datos. Además, uno debe suscribirse a un antivirus prominente "edición de negocios" que escaneará el archivo utilizando el motor de detección de virus localizado.
"¿Qué tan seguro es cargar archivos personales, podrían exponerse a alguien que no sea el propietario de VT?".
Todos en la ruta pueden verlo. Si no está encriptado pueden leerlo. Si está cifrado, podrían descifrarlo. Si VT tiene un empleado deshonesto o si son hackeados, sus datos pueden estar expuestos.
Nunca permitas que la información privada se apague si quieres mantenerla en secreto. Del mismo modo, no ponga nada en su teléfono, llévelo a un lugar esperando no perderlo y luego pierda todos sus contraseñas, fotos, información bancaria, etc.
Lo mismo para cualquier otro lugar, no específicamente VT.
Lea otras preguntas en las etiquetas privacy