Zoom la famosa piattaforma e applicazione per le videoconferenze è stata protagonista, nei mesi scorsi, per i problemi di violazione della privacy e lo scarso livello di sicurezza.
Zoom sicurezza e privacy
L’uso di Zoom è esploso da quando è diventata la piattaforma di videoconferenza preferita nel mondo COVID-19 di oggi.
La CNBC, in un suo servizio, afferma che, a inizio anno, le azioni di Zoom sono aumentate del 40% e che la società cinese avrebbe aggiunto 2,22 milioni di utenti attivi mensili contro 1,99 milioni dell’anno precedente.
Il primo aprile 2020, Eric S. Yuan, Amministratore delegato del gruppo, in un post rivolto a tutti gli utenti del mondo, annunciava che avevano appena raggiunto più di 200 milioni di partecipanti alle riunioni giornaliere, sia gratuiti che a pagamento, aggiungendo: “Tuttavia, riconosciamo di non essere all’altezza delle aspettative di privacy e sicurezza della comunità”. e, concludendo, “Nei prossimi 90 giorni, ci impegniamo a dedicare le risorse necessarie per identificare, affrontare e risolvere meglio i problemi in modo proattivo.”
Problemi già noti
Ebbene si questi problemi erano stati abbondantemente denunciati da Consumer Reports, una rivista statunitense e organizzazione senza scopo di lucro dedicata a test imparziali sui prodotti, ricerca e consigli per il consumatore. Consumer Reports metteva in evidenza di quanto la privacy di Zoom fosse lacunosa e di quali e quante informazioni Zoom potesse raccogliere sugli utenti collegati.
I controlli sulle pratiche di sicurezza di Zoom si sono intensificati, con gran parte della preoccupazione concentrata sulle sue impostazioni predefinite e sui meccanismi che rendono l’app così facile da usare.
Parte di questa facilità d’uso ha portato al fenomeno chiamato “Zoombombing“. Questo termina si riferisce all’intrusione indesiderata e dirompente, generalmente da parte di pirati informatici, in una videoconferenza con l’inserimento di materiale video pornografico, osceno, razzista o omofobo.
Vittima del proprio successo
Insomma questa piattaforma di videoconferenza, diventata famosa in pochissimo tempo, deve ora affrontare un enorme contraccolpo sulla privacy e sulla sicurezza poiché esperti di sicurezza, sostenitori della privacy, legislatori avvertono che le impostazioni predefinite di Zoom non sono abbastanza sicure.
Ma i ricercatori sulla sicurezza e i sostenitori della privacy non sono gli unici a sollevare preoccupazioni su Zoom.
La stessa FBI ha fornito una serie di consigli di sicurezza informatica per mitigare le minacce di “dirottamento” della teleconferenza.
Ad aprire il fascicolo sui problemy privacy di Zoom è stato l’ufficio del procuratore generale di New York che ha inviato una lettera a Zoom chiedendo se “Zoom ha intrapreso una revisione più ampia delle sue politiche di sicurezza” alla luce delle recenti preoccupazioni.
L’accordo con la FTC
Ieri la Federal Trade Commission ha annunciato un accordo con Zoom Video Communications, Inc. per cui la società dovrà implementare un solido programma di sicurezza delle informazioni per risolvere le accuse secondo cui il fornitore di videoconferenze ha utilizzato una serie di pratiche ingannevoli e sleali che hanno minato la sicurezza dei suoi utenti.
Nella sua denuncia , la FTC ha affermato che dal 2016 Zoom ha indotto in errore gli utenti sostenendo di offrire “crittografia end-to-end a 256 bit” per proteggere le comunicazioni degli utenti, quando in realtà ha fornito un livello di sicurezza inferiore .
La crittografia
La crittografia end-to-end è un metodo per proteggere le comunicazioni in modo che solo il mittente e il destinatario (e nessun’altra persona, nemmeno il fornitore della piattaforma) possano leggere il contenuto.
In realtà, sostiene la FTC, Zoom ha mantenuto le chiavi crittografiche che potrebbero consentire alla azienda stessa di accedere al contenuto delle riunioni dei suoi clienti e ha protetto i suoi Zoom Meetings, in parte, con un livello di crittografia inferiore a quello promesso.
Falso senso di sicurezza
Le affermazioni fuorvianti di Zoom hanno dato agli utenti un falso senso di sicurezza in particolare per coloro che hanno utilizzato la piattaforma dell’azienda per discutere argomenti sensibili come la salute e le informazioni finanziarie.
Durante la pandemia, praticamente tutti – famiglie, scuole, gruppi sociali, aziende – hanno utilizzano la videoconferenza per comunicare, rendendo la sicurezza di queste piattaforme più critica che mai, ha affermato Andrew Smith, Direttore del Bureau of Consumer Protection della FTC.
Le pratiche di sicurezza di Zoom non erano in linea con le sue promesse e questa azione contribuirà a garantire che le call e i dati sugli utenti siano protetti.
Il danno su Apple
Inoltre la società cinese ha compromesso ulteriormente la sicurezza degli utenti quando ha installato segretamente un software, chiamato server web ZoomOpener, come parte di un aggiornamento manuale per la sua applicazione desktop Mac nel luglio 2018.
Quel software ha permesso a Zoom di avviarsi automaticamente su macOS e bypassare le misure di sicurezza del browser Safari di Apple, consentendo di aggiungere automaticamente un utente a una videochiamata senza la loro autorizzazione.
La denuncia afferma che Zoom non ha implementato alcuna misura per proteggere la sicurezza degli utenti e ha aumentato il rischio di videosorveglianza remota da parte di estranei. Il software rimaneva sui computer degli utenti anche dopo che avevano eliminato l’app Zoom e in determinate circostanze avrebbe reinstallato automaticamente l’app stessa, senza alcuna azione da parte dell’utente. Apple ha rimosso il server Web ZoomOpener dai computer degli utenti tramite un aggiornamento automatico a luglio 2019.
La transazione
Come parte dell’accordo proposto, Zoom deve di implementare un programma di sicurezza completo che include una serie di misure quali:
- valutare e documentare su base annuale qualsiasi potenziale rischio per la sicurezza interno ed esterno e sviluppare modalità per proteggersi da tali rischi;
- implementare un programma di gestione delle vulnerabilità;
- implementare misure di salvaguardia come l’autenticazione a più fattori, istituire controlli per l’eliminazione dei dati e adottare misure per impedire l’uso di credenziali utente note compromesse;
- esaminare gli aggiornamenti del software per rilevare eventuali difetti di sicurezza e garantire che gli aggiornamenti non ostacolino le funzionalità di sicurezza di terze parti.
A Zoom è inoltre vietato fornire false dichiarazioni in merito alle sue pratiche in materia di privacy e sicurezza, incluso il modo in cui raccoglie, utilizza, conserva o divulga le informazioni personali; le sue caratteristiche di sicurezza; e la misura in cui gli utenti possono controllare la privacy o la sicurezza delle proprie informazioni personali.
La FTC ha indicato che pubblicherà presto una descrizione del pacchetto dell’accordo di consenso nel registro federale, dopodiché l’accordo sarà soggetto a commento pubblico per 30 giorni.
Infine, l’azienda deve ottenere valutazioni biennali del proprio programma di sicurezza da una terza parte indipendente.