Vorig jaar deze tijd was ‘zoom’ slechts een woord dat verband hield met snelheid. Maar de pandemie heeft het videoconferentieplatform Zoom tot een dagelijks terugkerend onderdeel gemaakt voor zakenmensen die overleggen over bedrijfsgeheimen, artsen en professionals in de geestelijke gezondheidszorg die gevoelige patiëntinformatie bespreken, kinderen die hun schoolwerk bijhouden en de rest van ons die alles deelt, van de details van het dagelijks leven tot vertrouwelijke familiezaken. Volgens een zojuist aangekondigde klacht van de FTCZoom zou zich schuldig hebben gemaakt aan misleidende en oneerlijke praktijken die consumenten misleidden over de veiligheid van hun communicatie op het platform en die bepaalde gebruikers in gevaar brachten toen het bedrijf een beveiligingsfunctie ondermijnde die in de Safari-browser was ingebouwd. Een voorgestelde schikking vereist dat Zoom zijn veiligheidsbeloften nakomt en een alomvattend programma implementeert dat is ontworpen om de informatie van consumenten in de toekomst te beschermen.
Gebruik Zoom slechts een paar keer en u begrijpt de omvang van de gegevens die het bedrijf verzamelt: namen, e-mailadressen, geschatte locaties, creditcardnummers, de identiteit van deelnemers en een overvloed aan informatie die wordt verzameld terwijl mensen de service gebruiken – inclusief chats, berichten, bestanden en opgenomen vergaderingen die zijn opgeslagen in de cloudopslag van Zoom. Zoom is zich duidelijk bewust van de zorgen van consumenten over de veiligheid van hun communicatie en beweerde op zijn website en elders dat het ‘de beveiliging serieus neemt’, dat het ‘privacy en veiligheid als de hoogste prioriteit plaatst’ en dat het ‘zich inzet voor de bescherming van uw privacy’.
Op zijn site, in zijn app, in beveiligingsgidsen en in directe communicatie met potentiële klanten heeft Zoom prominent zijn “end-to-end AES 256-bit encryptie” voor alle vergaderingen aangeprezen. End-to-end-encryptie is een manier om de communicatie te beveiligen, zodat alleen de afzender en de ontvangers – en niemand anders, zelfs de platformaanbieder niet – de inhoud kunnen lezen. AES 256-bit-codering is zo’n sterk coderingsniveau dat het kan worden gebruikt om ‘TOP SECRET’-berichten te beveiligen. Volgens een Zoom-blogpost uit 2015 maakte Zoom’s gebruik van AES 256-encryptie het voor een hacker onmogelijk om iets te pakken te krijgen buiten een hopeloos verminkte transmissie.
Dat beweert het bedrijf, maar de FTC zegt dat Zoom veel minder heeft opgeleverd. Zoom bood voor de meeste Zoom-vergaderingen geen end-to-end-encryptie omdat de servers van Zoom – waaronder enkele in China – de cryptografische sleutels bewaarden waarmee Zoom toegang kon krijgen tot de inhoud van de vergaderingen van zijn klanten. Bovendien zegt de FTC dat de bewering van het bedrijf over “256-bit-encryptie” vals of misleidend was, omdat Zoom een lager encryptieniveau leverde dat minder bescherming bood.
Voor betalende klanten bood Zoom ook de mogelijkheid om hun opgenomen vergaderingen direct na afloop van de vergadering op te slaan in de beveiligde cloud van Zoom. Volgens de FTC werden de opnames echter tot 60 dagen onversleuteld op de servers van Zoom bewaard voordat ze werden overgebracht naar de beveiligde cloudopslag van Zoom, waar ze versleuteld werden opgeslagen.
De FTC beweert ook dat Zoom voor Mac-gebruikers software heeft geïnstalleerd – ZoomOpener genaamd – die bijzondere privacy- en veiligheidsproblemen met zich meebracht. Mac-bezitters zullen het klacht voor details, maar hier is de samenvatting. Ter bescherming tegen malware en kwaadwillende actoren heeft Apple zijn Safari-browser bijgewerkt, zodat gebruikers een dialoogvenster moeten gebruiken wanneer een website of link probeert een app van buitenaf te starten. Dus als een consument een uitnodigingslink voor een Zoom-vergadering ontving, moest hij klikken dat het ‘oké’ was om de Zoom-app te openen en deel te nemen aan de vergadering. Om dit dialoogvenster te vermijden, heeft Zoom in juli 2018 zijn app voor Macs bijgewerkt met de ZoomOpener-software. Het bedrijf beweerde dat het doel van de update was om ‘kleine bugfixes’ op te lossen, maar de FTC zegt dat Zoom iets anders in gedachten had. In feite omzeilde Zoom’s ‘oplossing’ die beveiliging in de Safari-browser van Apple. Het resultaat: consumenten konden automatisch deelnemen aan Zoom-vergaderingen waarbij hun camera’s ook automatisch werden geactiveerd, tenzij de consumenten hun standaard Zoom-video-instellingen hadden gewijzigd.
Belangrijk is dat Zoom geen compenserende maatregelen heeft genomen om gebruikers te beschermen, en de FTC beweert dat Zoom’s truc achter de schermen Mac-gebruikers in gevaar heeft gebracht. No-goodniks zouden bijvoorbeeld phishing-e-mails kunnen sturen die eigenlijk vermomde Zoom-uitnodigingen waren. Als consumenten op een link klikten, kon er zonder hun toestemming een Zoom-vergadering worden geopend en konden vreemden hen via hun webcams bespioneren of malware op hun computers installeren. Zelfs als gebruikers de Zoom-app verwijderden, bleef de ZoomOpener bestaan, samen met de bijbehorende kwetsbaarheden. Bovendien zou Zoom de Zoom-app opnieuw kunnen installeren zonder toestemming of medeweten van de gebruiker. Apple heeft in 2019 de ZoomOpener-webserver van de computers van gebruikers verwijderd.
De voorgestelde administratieve klacht beweert dat Zoom de FTC-wet heeft geschonden door misleidende end-to-end-encryptieclaims te doen, valse beloften te doen over het niveau van encryptie dat het biedt, en misleidende verklaringen met betrekking tot beveiligde cloudopslag voor opgenomen vergaderingen. Bovendien beschuldigt de FTC ervan dat Zoom’s installatie van de ZoomOpener op oneerlijke wijze de privacy- en veiligheidswaarborgen van derden heeft omzeild en dat Zoom er op bedrieglijke wijze niet in is geslaagd consumenten de volledige primeur over de ZoomOpener te geven.
De voorgestelde schikking verbiedt Zoom een grote verscheidenheid aan onjuiste voorstellingen te geven op het gebied van privacy en veiligheid. Het vereist ook dat Zoom een verreikend informatiebeveiligingsprogramma opzet, dat onder meer een beveiligingsbeoordeling van alle nieuwe software vóór de release omvat, een programma voor kwetsbaarheidsbeheer, regelmatige beveiligingstrainingen voor alle medewerkers, gespecialiseerde trainingen voor ontwikkelaars en ingenieurs, en onafhankelijke programmabeoordelingen door een gekwalificeerde derde partij binnen 180 dagen en daarna om de twee jaar gedurende de komende 20 jaar. Zodra de voorgestelde schikking in het Federal Register is gepubliceerd, accepteert de FTC gedurende 30 dagen openbare commentaren.
Hoewel Zoom de meeste praktijken die in de klacht worden aangevochten heeft stopgezet, is de meest effectieve manier voor toekomstige naleving een alomvattende veiligheidsmake-over, beoordeeld door een gekwalificeerde derde partij, gecontroleerd door de FTC, en afdwingbaar voor de rechtbank. De honderden miljoenen consumenten die elke dag op Zoom vertrouwen om zaken te doen, gezondheidszorg te krijgen, hun kinderen onderwijs te geven en contact te maken met familieleden, hebben het recht om van het bedrijf te verwachten dat het stappen onderneemt om hun persoonlijke gegevens te beschermen.
Op zoek naar meer informatie over het gebruik van videoconferentieplatforms? Lezen Videoconferenties: 10 privacytips voor uw bedrijf.
