Tavaly ilyenkor a „zoom” egyszerűen a sebességgel kapcsolatos kifejezés volt. A világjárvány azonban a Zoom videokonferencia-platformot olyan médiummá alakította át, ahol az üzletemberek üzleti titkokról beszélhetnek, az orvosok és a mentálhigiénés szakemberek megvitathatják a betegek bizalmas adatait, a gyerekek lépést tarthatnak az iskolai munkával, a többiek pedig a mindennapi élet részleteitől a bizalmas családi ügyekig mindent megoszthatnak egymással. A nemrég bejelentett FTC panasz szerintA Zoom állítólag megtévesztő és tisztességtelen gyakorlatokat folytatott, amelyek félrevezették a fogyasztókat a platformon folytatott kommunikációjuk biztonságát illetően, és egyes felhasználókat veszélybe sodortak, amikor a vállalat gyengítette a Safari böngészőbe épített biztonsági funkciót. A javasolt egyezség megkövetelné, hogy a Zoom betartsa biztonsági ígéreteit, és átfogó programot hajtson végre a fogyasztók információinak védelmére a jövőben.
Csak használja néhányszor a Zoom-ot, és megérti a cég által gyűjtött adatok óriási mennyiségét: nevek, e-mail címek, hozzávetőleges helyek, hitelkártyaszámok, résztvevők személyazonossága és egy sor egyéb információ, amelyet a szolgáltatás használata során gyűjtenek – beleértve a Zoom felhőtárhelyén tárolt csevegéseket, üzeneteket, fájlokat és rögzített értekezleteket. Nyilvánvalóan tudatában van a fogyasztók kommunikációjuk biztonságával kapcsolatos aggályainak, a Zoom a honlapján és máshol azt állítja, hogy „komolyan veszi a biztonságot”, hogy „elsődleges prioritásként kezeli az adatvédelmet és a biztonságot”, és „elkötelezett az Ön személyes adatainak védelme mellett”.
A Zoom a webhelyén, az alkalmazásában, a biztonsági útmutatókban és a potenciális ügyfelekkel folytatott közvetlen kommunikáció során minden megbeszélésen jól láthatóan a „végponttól végpontig terjedő AES 256 bites titkosítást” mutatja be. A végpontok közötti titkosítás egy módja a kommunikáció biztonságossá tételének, így csak a feladó és a címzett – és senki más, még a platform szolgáltatója sem – olvashatja a tartalmat. A 256 bites AES titkosítás olyan erős titkosítási szint, hogy a „szigorúan titkos” üzenetek védelmére használható. Egy 2015-ös Zoom blogbejegyzés szerint „a Zoom AES 256 titkosításának használata” „lehetetlenné tette a hackerek számára, hogy a reménytelenül elrontott átvitelen kívül bármit is rögzítsenek…” A cég azt is közölte az egészségügyi szolgáltatókkal, hogy „a teljes körű AES 256 bites teleealth videokonferencia-titkosítása alkalmassá tette a megnövekedett biztonsági követelményekhez”.
Ezt állította a cég, de az FTC szerint a Zoom alulteljesített. Valójában a Zoom nem biztosított végpontok közötti titkosítást a legtöbb Zoom-találkozóhoz, mert a Zoom szerverei – köztük néhány Kínában található – titkosítási kulcsokat tartanak fenn, amelyek lehetővé teszik a Zoom számára, hogy hozzáférjen ügyfelei értekezleteinek tartalmához. Ezenkívül az FTC azt állítja, hogy a vállalat „256 bites titkosításra” vonatkozó állítása hamis vagy félrevezető, mivel a Zoom alacsonyabb szintű titkosítást kínált, amely kisebb biztonságot nyújtott.
A fizető ügyfelek számára a Zoom azt a lehetőséget is bevezette, hogy az értekezlet befejezése után azonnal a Zoom biztonságos felhőjében tárolják a rögzített megbeszéléseket. Az FTC szerint azonban a felvételeket 60 napig titkosítatlanul tárolták a Zoom szerverein, mielőtt átkerültek volna a Zoom biztonságos felhőtárhelyére, ahol titkosítva tárolták őket.
Az FTC azt is állítja, hogy a Mac-felhasználók számára a Zoom telepített szoftvert – a ZoomOpener-t –, amely különleges adatvédelmi és biztonsági aggályokat vet fel. A Mac tulajdonosok érdemes elolvasni ezt Panasz A részletekért, de itt a lényeg. A rosszindulatú programok és a rosszindulatú elemek elleni védelem érdekében az Apple frissítette Safari böngészőjét, és megköveteli a felhasználóktól, hogy párbeszédpanelen lépjenek kapcsolatba, amikor egy webhely vagy hivatkozás külső alkalmazást próbál elindítani. Tehát ha egy fogyasztó meghívó linket kap egy Zoom-találkozóra, akkor csak az „OK” gombra kell kattintania a Zoom alkalmazás megnyitásához és a megbeszéléshez. A párbeszédpanel elkerülése érdekében azonban 2018 júliusában a Zoom a ZoomOpener szoftverrel frissítette a Mac rendszerhez készült alkalmazását. A cég azt állította, hogy a frissítés célja a „kisebb hibajavítások” megoldása volt, de az FTC szerint a Zoom másra gondolt. Valójában a Zoom „javítása” megkerülte ezt a védelmet az Apple Safari böngészőjében. Az eredmény: A fogyasztók automatikusan csatlakozhatnak a Zoom-megbeszélésekhez, és kameráik is automatikusan aktiválódnak, hacsak a fogyasztók nem változtatták meg a Zoom alapértelmezett videóbeállításait.
Fontos, hogy a Zoom nem tett semmilyen ellensúlyozó intézkedést a felhasználók védelme érdekében, és az FTC azt állítja, hogy a Zoom kulisszák mögötti taktikája veszélybe sodorja a Mac felhasználókat. Előfordulhat például, hogy a rosszindulatú felhasználók adathalász e-maileket küldhetnek, amelyek valójában álcázott zoom-meghívások voltak. Ha a fogyasztók egy linkre kattintanak, az engedélyük nélkül nyithat meg egy Zoom-megbeszélést, és lehetővé teheti idegenek számára, hogy webkamerájukon keresztül kémkedjenek utánuk, vagy rosszindulatú programokat telepítsenek számítógépükre. Még ha a felhasználók törölték is a Zoom alkalmazást, a ZoomOpener megmaradt a megfelelő sebezhetőségeivel. Ezenkívül a Zoom újratelepítheti a Zoom alkalmazást a felhasználó engedélye vagy tudta nélkül. Az Apple 2019-ben eltávolította a ZoomOpener webszervert a felhasználók számítógépeiről.
közigazgatási panaszt javasolt Az állítás szerint a Zoom megsértette az FTC-törvényt azzal, hogy félrevezető végpontok közötti titkosítási állításokat tett, hamis ígéreteket tett az általa biztosított titkosítás szintjével kapcsolatban, és félrevezető nyilatkozatokat tett a rögzített megbeszélések biztonságos felhőtárolásáról. Ezenkívül az FTC azt állítja, hogy a Zoom ZoomOpener telepítése helytelenül megkerülte a harmadik fél adatvédelmi és biztonsági biztosítékait, és hogy a Zoom megtévesztő módon elmulasztotta a fogyasztók teljes körű tájékoztatását a ZoomOpenerről.
rendezési javaslat Megtiltja a Zoom számára, hogy különféle, az adatvédelemmel és biztonsággal kapcsolatos félrevezetéseket készítsen. Ezenkívül a Zoomnak átfogó információbiztonsági programot kell létrehoznia, amely többek között magában foglalja az összes új szoftver kiadás előtti biztonsági felülvizsgálatát, egy sebezhetőség-kezelési programot, rendszeres biztonsági képzést minden alkalmazott számára, speciális képzést a fejlesztők és mérnökök számára, valamint független programértékelést egy minősített harmadik fél által ezt követően 180 napon belül, majd minden második évben a következő 20 évben. Miután a javasolt egyezséget közzétették a Szövetségi Nyilvántartásban, az FTC 30 napig elfogadja a nyilvános észrevételeket.
Még ha a Zoom a panaszban kifogásolt gyakorlatok többségét be is állította, a jövőbeni megfelelés leghatékonyabb eszköze egy minősített harmadik fél által értékelt, az FTC által felügyelt és bírósági úton érvényesített átfogó biztonsági változtatás. Azon fogyasztók millióinak, akik nap mint nap a Zoomra támaszkodnak vállalkozásuk működtetésében, egészségügyi ellátásban, gyermekeik oktatásában és családtagjaikkal való kapcsolattartásban, joguk van elvárni, hogy a vállalat lépéseket tegyen személyes adataik védelme érdekében.
További információt keres a videokonferencia-platformok használatáról? Olvassa el a Videokonferencia: 10 adatvédelmi tippet vállalkozása számára.
