Prima parte din 2020 a fost ciudată pentru întreaga omenire. Pandemia de coronavirus a forțat jumătate de planetă să intre în auto-izolare și astfel foarte mulți oameni au trecut de la munca la birou la munca de acasă. Să nu mai zic de elevii și studenții care au trecut la cursuri online. Toate acestea au făcut din Zoom cea mai răspândită aplicație de videoconferinte, crescând incredibil de la 10 milioane de participanți pe zi în decembrie 2019, la 200 de milioane de participanți în martie 2020 și peste 300 de milioane de participanți în aprilie 2020.
Problema este că o dată cu creșterea exponențială a aplicației, riscurile care vin o dată cu folosirea aplicației au ajuns la un număr foarte mare de utilizatori. De la scripturi de urmărire a atenției încorporate în aplicație până la nenumărate cazuri de „zoombombing” (când participanți neinvitați intră în videoconferință și deranjează, de foarte multe ori folosind conținut pornografic sau care incită la ură), practicile companiei au generat foarte multă atenție și au dus și la o serie de procese.
Partajarea datelor utilizatorilor către Facebook
Cei de la Motherboard au aflat în luna martie că aplicația de iOS a Zoom partaja datele utilizatorilor cu Facebook, chiar dacă aceștia nu erau logați la un cont sau chiar dacă nu aveau un cont de Facebook. În urma investigației, cei de la Zoom au oprit partajarea datelor către Facebook.
Zoombombings
Foarte multe cazuri de zoombombings au apărut în timpul orelor ținute online de școlile din SUA, inclusiv un incident în care intrușii au afișat o svastică pe ecranele elevilor. Toate aceste evenimente i-au îndemnat pe cei de la FBI să avertizeze populația în legătură cu problemele de securitate ale Zoom și să recomande cadrelor didactice să protejeze lecțiile online cu parolă.
Zoom nu folosește criptare end-to-end
O investigație a celor de la The Intercept a descoperit că Zoom nu face criptare end-to-end, așa cum promitea în materialele de marketing și promovare. Această descoperiră l-a făcut pe CEO-ul Zoom să își ceară scuze într-o postare pe blogul companiei și să promită îmbunătățirea securității aplicației. Din acel moment, compania a înghețat orice dezvoltare de noi funcționalități și a redirecționat toate resursele să muncească la rezolvarea tutror problemelor de securitate în următoarele 90 de zile.
Date conturi și înregistrări disponibile online
O investigație a Washington Post a dezvăluit că mii de înregistrări ale unor apeluri video Zoom au fost lăsate neprotejate și puteau fi găsite online. Printre ele se aflau foarte multe înregistrări cu date personale, cum ar fi sesiuni de terapie psihologică, ședințe în care se discutau situații și trategii financiare ale unor companii sau ore ținute online în care datele personale ale elevilor erau disponibile.
Conmpania de securitate cibernetică Sixgill a găsit un utilizator pe un forum de pe dark web care a postat un link către peste 300 de conturi Zoom compromise. Toate aceste conturi aveau disponibile adresele de email, parolele, ID-urile meeting-urilor, numele organizatorilor și tipul de cont Zoom.
Compania de securitate cibernetică Cyble a descoperit că peste 500.000 de conturi Zoom sunt scoase la vânzare pe dark web și pe forumurile hackerilor. Conturile sunt vândute foarte ieftin, unele dintre ele fiind oferite chiar gratuit. Utilizatorii Zoom sunt sfătuiți să își schimbe parola contului și să verifice pe site-ul Have I Been Pwned pentru a afla dacă și adresa lor de email se află printre cele ajunse la vânzare pe dark web.
Campanie de phishing pentru aflarea datelor de autentificare ale utilizatorilor
Cei de la Bitdefender au descoperit o campanie de phishing desfășurată în aplicația Zoom care profită de fricile oamenilor cu privire la pierderea slujbei pentru a le afla datele de autentificare. Date care apoi pot fi utilizate de hackeri în diferite moduri abuzive.
Alte probleme de securitate
O altă problemă gravă de securitate descoperită de cei de la Motherboard arată că aplicația a partajat adresele de email și fotografiile utilizatorilor cu străini, în timp ce un bug găsit în aplicația de Windows permite hackerilor să preia controlul microfonului sau a camerei web a utilizatorului. Nici utilizatorii de MacOS nu sunt scutiți de probleme, fiind descoperit un bug prin intermediul căruia Zoom primea acces root la desktop-urile MacOS. Un alt feature al aplicației ar fi permis unora din utilizatori să aibă acces la datele de LinkedIn ale altor utilizatori.
Companiile încep să interzică folosirea Zoom
Din cauza tuturor acestor probleme, mai multe companii au început să interzică folosirea Zoom. Primul care a recurs la acest gest a fost Elon Musk, interzicând folosirea Zoom de către angajații SpaceX. Nu după mult timp, unele districte școlare din SUA au început să interzică folosirea Zoom pentru desfășurarea orelor online. Taiwan a interzis folosirea Zoom în orice instituție publică și a recomandat folosirea aplicațiilor similare de la Microsoft sau Google. Și dacă tot am menționat Google, și aceștia au interzis folosirea Zoom pe orice device care aparține companiei, blocând aplicația pentru toți angajații. Pentagonul, guvernul german și profesorii din Singapore au fost opriți de asemenea din a folosi Zoom pentru videoconferințe și pentru orele ținute online.
Pași luați de Zoom pentru îndreptarea vulnerabilităților
E clar deja că cei de la Zoom au fost luați prin surprindere de afluența de utilizatori din 2020, de aici și multele probleme de securitate de care am auzit în această primă parte a anului. Unele dintre ele au fost rezolvate, altele sunt în curs de rezolvare. Zoom a avut foarte multe update-uri ale aplicației în ultimele luni pentru a rezolva diferite vulnerabilități. Compania a pus stop dezvoltării oricărei noi funcționalități pentru 90 de zile, pentru a putea redirecționa toate eforturile spre eliminarea vulnerabilităților găsite în aplicație. De asemenea, Zoom a încheiat un parteneriat cu Luta Security pentru repornirea programului de bug bounty. Pentru a spori în continuare securitatea aplicației, Zoom a achiziționat serviciul de mesagerie securizată și file-sharing Keybase.
Da, compania a făcut pași pentru eliminarea vulnerabilităților, însă în continuare primul care trebuie să se protejeze e utilizatorul. De aceea, dacă după ce ai citit mai sus nu mai vrei să folosești Zoom, avem pentru tine un articol cu cele mai bune alternative pe care poți să le folosești. Dacă în schimb vrei să folosești în continuare Zoom sau poate nu vrei dar nu ai încotro, avem mai jos câteva sfaturi pentru a face experiența ta cât mai lipsită de bătăi de cap:
- asigură-te că meeting-urile la care participi sunt private și protejate cu parolă;
- utilizatorii neautentificați ar trebui ținuți în „waiting room” până li se confirmă identitatea;
- asigură-te că organizatorul monitorizeaza constant participanții la ședință, pentru a nu avea surprize neplăcute;
- ai grijă cu înregistrarea ședințelor și asigură-te că obții consimțământul tuturor participanților înainte de a porni înregistrarea;
- participanții care intră în ședință prin dial-in telefonic slăbesc măsurile de securitate;
- ai grijă la opțiunile de screen-sharing și partajarea de documente și fișiere, ele pot duce la dezvăluirea de informații sensibile sau la distribuirea de programe malițioase.