Gli abbonamenti a pagamento a virustotal possono scaricare file caricati da altri. Se ritieni che questo sia ancora sicuro per i tuoi utenti, dipende da ciò che consideri sicuro.

Consulta anche la loro Informativa sulla privacy che dice chiaramente:

Informazioni che condividiamo
Quando invii un file a VirusTotal per la scansione, noi può archiviarlo e condividerlo con il settore dell'antimalware e della sicurezza ... File, URL, commenti e qualsiasi altro contenuto inviato o condiviso all'interno di VirusTotal possono anche essere inclusi nei servizi privati ​​premium offerti da VirusTotal al settore dell'anti malware e della sicurezza ICT

Tuttavia, penso che la tua idea di offrire un accesso più semplice a un servizio utile direttamente dal client di posta abbia senso. Tuttavia, consiglierei di aggiungere un avviso di facile comprensione ma non facile da ignorare sulle implicazioni sulla privacy prima che l'utente carichi un file. E potrebbe essere meno invasivo controllare prima se l'hash esiste già in VT prima di caricare un file (e non caricare se l'hash è noto a VT).
Idealmente, puoi anche semplificare agli utenti rimuovere accidentalmente un file condiviso (grazie a @Mirsad per questo suggerimento in un commento).

Non consiglierei di caricare file contenenti informazioni sensibili. Password, note personali o altre forme di dati che possono identificarti come persona o esporre la tua privacy. Come ha detto Steffen nella sua risposta, i file possono essere scaricati da utenti premium, il che significa che i file e il loro contenuto saranno disponibili per altre persone. Di solito, leggere l'informativa sulla privacy del sito web ti aiuta a cogliere il concetto generale di cosa faranno con i dati.

Sì, i file vengono esposti a persone esterne agli amministratori di VT.

Virustotal Premium consente il download di file e la "caccia", che implica la scrittura di regole YARA per abbinare i file da tutto ciò che è stato caricato su VT (ad esempio posso cercare file che hanno una stringa "privato", ottenere avvisato ogni volta che tale file viene caricato su VT e scaricabile io stesso). Avere il servizio Premium è molto comune per i team di sicurezza e le aziende.

Inoltre, come già accennato, le informazioni vengono condivise con altre comunità. Quindi, se c'è il rischio che i documenti privati ​​possano essere caricati, non implementerei questa funzione.

Per prima cosa, leggi attentamente questo articolo: Azienda di sicurezza accusata di esporre terabyte di dati dei clienti, ti spiega perché non dovresti commettere lo stesso errore.

La regola pratica dell'utilizzo di VirusTotal per proteggere la privacy dei propri file è inviare un hash sha256 al database. Inoltre, è necessario abbonarsi a un importante antivirus "edizione aziendale" che eseguirà la scansione del file utilizzando un motore di scansione antivirus localizzato.

"quanto è sicuro caricare file personali, potrebbero essere esposti a qualcuno oltre al proprietario di VT?".

Tutti possono vederlo sul percorso. Se non è crittografato, possono leggerlo. Se è crittografato, potrebbero essere in grado di decrittografarlo. Se VT ha un dipendente disonesto o viene violato, i tuoi dati possono essere esposti.

Non lasciare che le informazioni private vengano diffuse se vuoi tenerle per te. Allo stesso modo non mettere nulla sul tuo telefono, portalo da qualche parte aspettandoti di non perderlo, quindi perderlo e tutte le tue password, foto, informazioni bancarie, ecc.

Lo stesso per qualsiasi altro luogo, non specificamente VT .