Vorig jaar rond deze tijd was ‘zoom’ slechts een woord dat verband hield met snelheid. Maar door de pandemie is het videoconferentieplatform Zoom een dagelijks terugkerend onderdeel geworden voor zakenmensen die vergaderen over bedrijfsgeheimen, artsen en professionals in de geestelijke gezondheidszorg die gevoelige patiënteninformatie bespreken, kinderen die hun schoolwerk bijhouden en de rest van ons die alles deelt, van de details van het dagelijks leven tot vertrouwelijke familiezaken. Volgens een zojuist gepubliceerde klacht van de FTCZoom zou zich schuldig hebben gemaakt aan misleidende en oneerlijke praktijken die consumenten misleidden over de veiligheid van hun communicatie op het platform en die bepaalde gebruikers in gevaar brachten toen het bedrijf een beveiligingsfunctie ondermijnde die in de Safari-browser was ingebouwd. Een voorgestelde schikking zou van Zoom vereisen dat het zijn veiligheidsbeloften nakomt en een alomvattend programma implementeert dat is ontworpen om de informatie van consumenten in de toekomst te beschermen.
Gebruik Zoom slechts een paar keer en u begrijpt de omvang van de gegevens die het bedrijf verzamelt: namen, e-mailadressen, geschatte locaties, creditcardnummers, de identiteit van deelnemers en een schat aan informatie die wordt verzameld terwijl mensen de service gebruiken, inclusief chats, berichten, bestanden en opgenomen vergaderingen die zijn opgeslagen in de cloudopslag van Zoom. Zoom is zich duidelijk bewust van de zorgen van consumenten over de veiligheid van hun communicatie en beweerde op zijn website en elders dat het ‘de beveiliging serieus neemt’, dat het ‘privacy en veiligheid als topprioriteit stelt’ en dat het ‘zich inzet voor de bescherming van uw privacy’.
Op zijn website, in zijn app, in beveiligingsgidsen en in directe communicatie met potentiële klanten benadrukt Zoom prominent zijn “end-to-end AES 256-bit encryptie” voor alle vergaderingen. End-to-end-encryptie is een manier om de communicatie te beveiligen, zodat alleen de afzender en de ontvangers – en niemand anders, zelfs de platformaanbieder niet – de inhoud kunnen lezen. AES 256-bit-codering is zo’n sterk coderingsniveau dat deze kan worden gebruikt om ‘TOP SECRET’-berichten te beveiligen. Volgens een Zoom-blogpost uit 2015 maakte “Zoom’s gebruik van AES 256-codering” het “voor een hacker onmogelijk om iets te bemachtigen buiten een hopeloos verminkte transmissie …”. Het bedrijf vertegenwoordigde ook tegenover zorgverleners dat “end-to-end AES 256-bit-codering van alle vergadergegevens en instant video-messaging de behoefte aan videoconferenties voor telecommunicatie versterkte”.
Dat beweert het bedrijf, maar de FTC zegt dat Zoom veel minder heeft opgeleverd. In feite voorzag Zoom niet in end-to-end-encryptie voor de meeste Zoom-vergaderingen, omdat de servers van Zoom – waaronder enkele in China – de cryptografische sleutels bewaarden waarmee Zoom toegang kon krijgen tot de inhoud van de vergaderingen van zijn klanten. Bovendien zegt de FTC dat de bewering van het bedrijf over “256-bit-encryptie” vals of misleidend was, omdat Zoom een lager encryptieniveau bood dat minder bescherming bood.
Voor betalende klanten bood Zoom ook de mogelijkheid om hun opgenomen vergaderingen direct na afloop van de vergadering op te slaan in de beveiligde cloud van Zoom. Maar volgens de FTC werden de opnames tot 60 dagen onversleuteld op de servers van Zoom opgeslagen voordat ze werden overgebracht naar de beveiligde cloudopslag van Zoom, waar ze versleuteld werden opgeslagen.
De FTC beweert ook dat Zoom voor Mac-gebruikers software heeft geïnstalleerd – ZoomOpener genaamd – die bijzondere privacy- en veiligheidsproblemen met zich meebracht. Mac-bezitters zullen willen lezen klacht voor details, maar hier is de samenvatting. Ter bescherming tegen malware en kwaadwillende actoren heeft Apple zijn Safari-browser bijgewerkt, zodat gebruikers een dialoogvenster moeten gebruiken wanneer een website of link probeert een externe app te starten. Als een consument dus een uitnodigingslink voor een Zoom-vergadering ontvangt, moet hij op “oké” klikken om de Zoom-app te openen en deel te nemen aan de vergadering. Maar om dit dialoogvenster te vermijden, heeft Zoom in juli 2018 zijn app voor Mac bijgewerkt met de ZoomOpener-software. Het bedrijf beweerde dat het doel van de update was om ‘kleine bugfixes’ aan te pakken, maar de FTC zegt dat Zoom iets anders in gedachten had. In feite omzeilde de “fix” van Zoom deze bescherming in de Safari-browser van Apple. Het resultaat: consumenten konden automatisch deelnemen aan Zoom-vergaderingen terwijl hun camera’s ook automatisch waren ingeschakeld, tenzij de consumenten hun standaard Zoom-video-instellingen hadden gewijzigd.
Belangrijk is dat Zoom geen compenserende maatregelen heeft ingevoerd om gebruikers te beschermen, en de FTC beweert dat Zoom’s truc achter de schermen Mac-gebruikers in gevaar bracht. No-goodniks zouden bijvoorbeeld phishing-e-mails kunnen sturen die in werkelijkheid vermomde Zoom-uitnodigingen waren. Als consumenten op een link klikten, kon er zonder hun toestemming een Zoom-vergadering worden geopend en konden vreemden hen via hun webcams bespioneren of malware op hun computers installeren. Zelfs als gebruikers de Zoom-app verwijderden, bleef ZoomOpener bestaan, samen met de bijbehorende kwetsbaarheden. Bovendien zou Zoom de Zoom-app opnieuw kunnen installeren zonder toestemming of medeweten van de gebruiker. Apple heeft in 2019 de ZoomOpener-webserver van de computers van gebruikers verwijderd.
De voorgestelde administratieve klacht beweert dat Zoom de FTC-wet heeft geschonden door misleidende end-to-end-encryptieclaims te doen, valse beloften te doen over het niveau van encryptie dat het biedt, en misleidende verklaringen met betrekking tot veilige cloudopslag voor opgenomen vergaderingen. Bovendien beweert de FTC dat Zoom’s installatie van ZoomOpener op oneerlijke wijze de privacybescherming en beveiligingsmaatregelen van derden heeft omzeild, en dat Zoom er op frauduleuze wijze niet in is geslaagd consumenten de volledige primeur over ZoomOpener te geven.
De voorgestelde schikking verbiedt Zoom een breed scala aan verkeerde voorstelling van zaken op het gebied van privacy en veiligheid te geven. Het vereist ook dat Zoom een alomvattend informatiebeveiligingsprogramma implementeert, dat onder meer een pre-release beveiligingsbeoordeling van alle nieuwe software omvat, een programma voor kwetsbaarheidsbeheer, regelmatige beveiligingstrainingen voor alle werknemers, gespecialiseerde trainingen voor ontwikkelaars en ingenieurs, en onafhankelijke programmabeoordelingen door een gekwalificeerde derde partij binnen 180 dagen en daarna elke twee jaar gedurende de komende 20 jaar. Zodra de voorgestelde schikking in het Federal Register is gepubliceerd, accepteert de FTC gedurende 30 dagen openbare commentaren.
Hoewel Zoom de meeste praktijken die in de klacht worden aangevochten, heeft stopgezet, is de meest effectieve manier om in de toekomst aan de regels te voldoen een alomvattende veiligheidsmake-over, beoordeeld door een gekwalificeerde derde partij, onder toezicht van de FTC en afdwingbaar voor de rechtbank. De honderden miljoenen consumenten die elke dag op Zoom vertrouwen om zaken te doen, gezondheidszorg te krijgen, hun kinderen onderwijs te geven en contact te maken met familieleden, hebben het recht om van het bedrijf te verwachten dat het stappen onderneemt om hun persoonlijke gegevens te beschermen.
Bent u op zoek naar meer informatie over het gebruik van videoconferentieplatforms? Lezen Videoconferenties: 10 privacytips voor uw bedrijf.
