Vorig jaar rond deze tijd was ‘zoom’ slechts een woord dat verband hield met snelheid. Maar door de pandemie is het videoconferentieplatform Zoom een dagelijkse bezigheid geworden voor zakenmensen die sparren over bedrijfsgeheimen, artsen en professionals in de geestelijke gezondheidszorg die gevoelige patiëntinformatie bespreken, kinderen die hun schoolwerk bijhouden en de rest van ons die alles deelt, van de details van het dagelijks leven tot vertrouwelijke familiezaken. Dat blijkt uit een nieuw aangekondigde FTC-klachtZoom zou zich schuldig hebben gemaakt aan misleidende en oneerlijke praktijken die consumenten misleidden over de veiligheid van hun communicatie op het platform en die sommige gebruikers in gevaar brachten toen het bedrijf een beveiligingsfunctie ondermijnde die in de Safari-browser was ingebouwd. Een voorgestelde schikking vereist dat Zoom zijn veiligheidsbeloften nakomt en een uitgebreid programma implementeert dat is ontworpen om consumenteninformatie in de toekomst te beschermen.
Gebruik Zoom slechts een paar keer en u begrijpt de omvang van de gegevens die het bedrijf verzamelt: namen, e-mailadressen, geschatte locaties, creditcardnummers, identiteiten van deelnemers en een groot aantal informatie die wordt verzameld terwijl mensen de service gebruiken, inclusief chats, berichten, bestanden en opgenomen vergaderingen die zijn opgeslagen in de cloudopslag van Zoom. Zoom is zich duidelijk bewust van de zorgen van consumenten over de veiligheid van hun communicatie en heeft op zijn website en elders verklaard dat het de beveiliging ‘serieus neemt’, dat het ‘privacy en veiligheid als de hoogste prioriteit stelt’ en dat het ‘zich inzet voor de bescherming van uw privacy.’
Op zijn site, in zijn app, in beveiligingsgidsen en in directe communicatie met potentiële klanten heeft Zoom prominent reclame gemaakt voor zijn “256-bit end-to-end AES-encryptie” voor alle vergaderingen. End-to-end-encryptie is een manier om communicatie te beschermen, zodat alleen de afzender en ontvangers – en niemand anders, zelfs niet de platformaanbieder – de inhoud kunnen lezen. AES 256-bit-codering is zo’n sterk coderingsniveau dat deze kan worden gebruikt om “TOP SECRET” -berichten te beschermen. Volgens een Zoom-blogpost uit 2015 maakte “Zoom’s gebruik van AES 256-codering” het “voor een hacker onmogelijk om iets anders te begrijpen dan een hopeloos verminkte transmissie …”. Het bedrijf legde ook aan zorgverleners uit dat “end-to-end AES 256-bit-codering van alle vergader- en instant message-gegevens” het platform zeer geschikt maakte voor de geavanceerde beveiligingsbehoeften van telezorg-videoconferenties.
Dat zei het bedrijf, maar de FTC zegt dat Zoom veel minder produceerde. Zoom voorzag in feite niet in end-to-end-encryptie voor de meeste Zoom-vergaderingen, omdat de servers van Zoom, waaronder enkele in China, cryptografische sleutels bijhielden waarmee Zoom toegang kon krijgen tot de inhoud van de vergaderingen van zijn klanten. Bovendien zegt de FTC dat de bewering van het bedrijf over “256-bit-codering” vals of misleidend was omdat Zoom een lager coderingsniveau bood dat minder bescherming bood.
Voor betalende klanten bood Zoom ook de mogelijkheid om opgenomen vergaderingen direct na afloop van de vergadering op te slaan in de beveiligde cloud van Zoom. Volgens de FTC werden de opnames echter tot 60 dagen onversleuteld opgeslagen op de servers van Zoom voordat ze werden overgebracht naar de beveiligde cloudopslag van Zoom, waar ze versleuteld werden opgeslagen.
De FTC beweert ook dat Zoom voor Mac-gebruikers software heeft geïnstalleerd – ZoomOpener genaamd – die bijzondere privacy- en veiligheidsproblemen met zich meebracht. Mac-bezitters zullen het klacht voor details, maar hier is de samenvatting. Ter bescherming tegen malware en kwaadwillenden heeft Apple zijn Safari-browser bijgewerkt, zodat gebruikers een dialoogvenster kunnen openen wanneer een website of link probeert een externe app te starten. Dus als een consument een uitnodigingslink voor een Zoom-vergadering ontving, moest hij op “ok” klikken om de Zoom-app te openen en deel te nemen aan de vergadering. Om deze dialoog te vermijden heeft Zoom in juli 2018 zijn Mac-app geüpdatet met ZoomOpener-software. Het bedrijf zei dat het doel van de update was om “kleine bugfixes” aan te pakken, maar de FTC zegt dat Zoom iets anders in gedachten had. In feite omzeilde Zoom’s “oplossing” die bescherming in de Safari-browser van Apple. Het resultaat: consumenten konden automatisch deelnemen aan Zoom-vergaderingen terwijl hun camera’s ook automatisch geactiveerd waren, tenzij consumenten de standaard video-instellingen van Zoom veranderden.
Belangrijk is dat Zoom geen compenserende maatregelen heeft genomen om gebruikers te beschermen, en de FTC beweert dat Zoom’s truc achter de schermen Mac-gebruikers in gevaar bracht. No-goodniks zouden bijvoorbeeld phishing-e-mails kunnen sturen die eigenlijk vermomde Zoom-uitnodigingen waren. Als consumenten op een link klikten, kon er zonder hun toestemming een Zoom-vergadering worden geopend en konden vreemden hen via hun webcams bespioneren of malware op hun computers installeren. Zelfs als gebruikers de Zoom-app verwijderden, bleef ZoomOpener bestaan, samen met de bijbehorende kwetsbaarheden. Bovendien kan Zoom de Zoom-app opnieuw installeren zonder uw toestemming of medeweten. Apple heeft in 2019 de ZoomOpener-webserver van de computers van gebruikers verwijderd.
DE administratief klachtvoorstel beweert dat Zoom de FTC-wetgeving heeft geschonden door misleidende beweringen te doen over end-to-end-encryptie, valse beloften over het geboden encryptieniveau en misleidende verklaringen over veilige cloudopslag voor opgenomen vergaderingen. Bovendien beschuldigt de FTC ervan dat Zoom’s installatie van ZoomOpener op oneerlijke wijze de privacy- en veiligheidswaarborgen van derden heeft omzeild en dat Zoom er op bedrieglijke wijze niet in is geslaagd consumenten de volledige primeur over ZoomOpener te geven.
DE voorgestelde oplossing verbiedt Zoom een breed scala aan verkeerde voorstellingen te maken met betrekking tot privacy en veiligheid. Het vereist ook dat Zoom een alomvattend informatiebeveiligingsprogramma implementeert, dat onder meer een beveiligingsbeoordeling van alle nieuwe software omvat voorafgaand aan de release, een programma voor kwetsbaarheidsbeheer, regelmatige beveiligingstrainingen voor alle werknemers, gespecialiseerde trainingen voor ontwikkelaars en ingenieurs, en onafhankelijke evaluaties van het programma door een gekwalificeerde derde partij binnen 180 dagen en daarna elke twee jaar gedurende de komende 20 jaar. Zodra de voorgestelde schikking in het Federal Register is gepubliceerd, accepteert de FTC gedurende 30 dagen openbare commentaren.
Hoewel Zoom de meeste praktijken die in de klacht worden genoemd, heeft stopgezet, is het meest effectieve middel voor toekomstige naleving een alomvattende vernieuwing van de beveiliging, geëvalueerd door een gekwalificeerde derde partij, gecontroleerd door de FTC, en afdwingbaar voor de rechtbank. De honderden miljoenen consumenten die elke dag op Zoom vertrouwen om zaken te doen, gezondheidszorg te ontvangen, hun kinderen onderwijs te geven en contact te maken met familieleden, hebben het recht om van het bedrijf te verwachten dat het stappen onderneemt om hun persoonlijke gegevens te beschermen.
Bent u op zoek naar meer informatie over het gebruik van videoconferentieplatforms? Licht Videoconferenties: 10 privacytips voor uw bedrijf.
