A zoom nas práticas de segurança injustas e enganosas do Zoom: mais sobre o assentamento da FTC
Desta vez, no ano passado, “Zoom” foi apenas uma palavra relacionada à velocidade. Mas a pandemia tornou a plataforma de videoconferência zoom um jogo diário para pessoas de negócios que confiam sobre segredos comerciais, médicos e profissionais de saúde mental discutindo informações sensíveis ao paciente, crianças acompanhando o trabalho da escola e o resto de nós compartilhando tudo, desde os detalhes do dia- Hoje a vida em questões familiares confidenciais. De acordo com uma reclamação da FTC recém-anunciadaO Zoom supostamente se envolveu em práticas enganosas e injustas que enganaram os consumidores sobre a segurança de suas comunicações na plataforma e que colocam certos usuários em risco quando a empresa minou um recurso de segurança incorporado ao navegador Safari. Um acordo proposto exigirá o Zoom para honrar suas promessas de segurança e implementar um programa abrangente projetado para proteger as informações dos consumidores no futuro.
Use o Zoom apenas algumas vezes e você entenderá a amplitude dos dados que a empresa coleta: nomes, endereços de e -mail, locais aproximados, números de cartão de crédito, identidade dos participantes e uma infinidade de informações coletadas enquanto as pessoas usam o serviço – incluindo bate -papos , mensagens, arquivos e reuniões gravadas armazenadas no armazenamento em nuvem do Zoom. Obviamente, ciente das preocupações dos consumidores sobre a segurança de suas comunicações, o Zoom afirmou em seu site e em outros lugares que leva a “segurança a sério”, que “coloca privacidade e segurança como a mais alta prioridade” e que “está comprometida em proteger sua sua privacidade.”
Em seu site, em seu aplicativo, em guias de segurança e em comunicações diretas com clientes em potencial, o Zoom divulgou proeminentemente sua “criptografia de 256 bits de ponta a ponta” para todas as reuniões. A criptografia de ponta a ponta é uma maneira de proteger as comunicações para que apenas o remetente e os destinatários-e mais ninguém, nem mesmo o provedor da plataforma-possam ler o conteúdo. A criptografia AES de 256 bits é um nível tão forte de criptografia que pode ser usado para proteger mensagens “de primeira secreção”. De acordo com uma postagem no blog do Zoom de 2015, “O uso do AES 256 pela Zoom, criptografia” tornou “impossível para um hacker pegar qualquer coisa fora de uma transmissão irremediavelmente distorcida. . . . “A empresa também representou os prestadores de serviços de saúde que” a criptografia de 256 bits de ponta a ponta de todos os dados de atender e mensagens instantâneas “tornou a plataforma adequada para as necessidades de segurança aprimoradas da videoconferência de telessaúde.
É isso que a empresa afirmou, mas a FTC diz que o Zoom entregou muito menos. De fato, o Zoom não forneceu criptografia de ponta a ponta para a maioria das reuniões de zoom porque os servidores do Zoom-incluindo alguns localizados na China-mantiveram as chaves criptográficas que poderiam permitir que o Zoom acesse o conteúdo das reuniões de seus clientes. Além disso, a FTC diz que a reivindicação da empresa de “criptografia de 256 bits” foi falsa ou enganosa porque o Zoom forneceu um nível mais baixo de criptografia que forneceu menos proteção.
Para os clientes pagantes, o Zoom também ofereceu a opção de armazenar suas reuniões gravadas na nuvem segura do Zoom imediatamente após o término da reunião. No entanto, de acordo com a FTC, as gravações foram mantidas nos servidores do Zoom sem criptografia por até 60 dias antes de serem transferidos para o armazenamento seguro da Zoom, onde foram armazenados criptografados.
A FTC também alega que, para usuários de Mac, o Zoom instalou o software – chamado ZooMopener – que levantou preocupações específicas de privacidade e segurança. Os proprietários de Mac vão querer ler o reclamação Para detalhes, mas aqui está o resumo. Para ajudar a se defender contra malware e atores maliciosos, a Apple atualizou seu navegador Safari para exigir que os usuários interajam com uma caixa de diálogo quando um site ou link tentou lançar um aplicativo externo. Portanto, se um consumidor recebeu um link de convite para uma reunião de zoom, ele teve que clicar em que estava “bem” para abrir o aplicativo Zoom e ingressar na reunião. No entanto, para evitar essa caixa de diálogo, em julho de 2018, o Zoom atualizou seu aplicativo para Macs com seu software ZooMopener. A empresa alegou que o objetivo da atualização era resolver “pequenas correções de bugs”, mas a FTC diz que o Zoom tinha outra coisa. De fato, a “correção” de Zoom contornou essa salvaguarda no navegador Safari da Apple. O resultado: os consumidores poderiam se unir automaticamente para ampliar as reuniões com suas câmeras também ativadas automaticamente, a menos que os consumidores tivessem alterado suas configurações de vídeo em zoom.
É importante ressaltar que o Zoom não implementou nenhuma medida de compensação para proteger os usuários, e a FTC alega que o traseiro dos bastidores da Zoom colocou os usuários de Mac em risco. Por exemplo, não-bom poderia enviar e-mails de phishing que realmente zoomam convites disfarçados. Se os consumidores clicarem em um link, ele poderá abrir uma reunião de zoom sem sua permissão e permitir que estranhos os espiassem através de suas webcams ou instalar malware em seus computadores. Mesmo que os usuários excluíssem o aplicativo Zoom, o ZooMopener permaneceu – junto com suas vulnerabilidades que o acompanham. Além disso, o Zoom pode reinstalar o aplicativo Zoom sem a permissão ou o conhecimento do usuário. A Apple removeu o servidor da Web ZooMopener dos computadores dos usuários em 2019.
O queixa administrativa proposta As alegações do Zoom violaram a Lei da FTC ao fazer reivindicações enganosas de criptografia de ponta a ponta, falsas promessas sobre o nível de criptografia que forneceu e representações enganosas sobre o armazenamento de nuvem garantido para reuniões gravadas. Além disso, a FTC cobra que a instalação do Zoom do ZooMener contornou injustamente as salvaguardas de privacidade e segurança de terceiros e que o Zoom enganou enganosamente em dar aos consumidores a colher completa sobre o ZooMopener.
O liquidação proposta Proíbe o Zoom de fazer uma ampla variedade de deturpações relacionadas à privacidade e segurança. Ele também exige que o Zoom crie um programa de segurança de informações de longo alcance que inclua-entre outras coisas-uma revisão de segurança para todos os novos softwares antes do lançamento, um programa de gerenciamento de vulnerabilidades, treinamento regular de segurança para todos os funcionários, treinamento especializado para desenvolvedores e engenheiros e avaliações independentes do programa por terceiros qualificados dentro de 180 dias e a cada dois anos depois disso nos próximos 20 anos. Depois que o acordo proposto for publicado no Federal Register, a FTC aceitará comentários públicos por 30 dias.
Embora o Zoom tenha descontinuado a maioria das práticas desafiadas na denúncia, o meio mais eficaz para a conformidade futura é uma reforma abrangente de segurança avaliada por um terceiro qualificado, monitorado pela FTC e aplicável no tribunal. As centenas de milhões de consumidores que dependem do zoom todos os dias para conduzir negócios, obter assistência médica, educar seus filhos e se conectar com os membros da família têm o direito de esperar que a empresa tome medidas para proteger suas informações pessoais.
Procurando mais informações sobre o uso de plataformas de videoconferência? Leia a videoconferência: 10 dicas de privacidade para o seu negócio.
