Punti chiave
La pandemia di coronavirus ha costretto milioni di persone a rimanere a casa dallo scorso mese. Zoom è diventato improvvisamente il servizio di videoconferenza preferito: i partecipanti alle riunioni quotidiane sulla piattaforma sono passati da 10 milioni di dicembre a 200 milioni a marzo.
Con questa popolarità è arrivato anche il rischio che la protezione privacy di Zoom si estendesse rapidamente a un numero enorme di persone. Dalle funzionalità integrate di tracciamento dell’attenzione ai recenti miglioramenti in ” Zoombombing ” (in cui i partecipanti non invitati interrompono e interrompono le riunioni con contenuti pieni di contenuti politici o pornografici), le pratiche di sicurezza di Zoom hanno attirato più attenzione, insieme ad almeno tre cause legali contro la compagnia.
Ecco tutto ciò che è stato reso noto sulla saga di sicurezza di Zoom e quando è successo. I problemi di sicurezza di Zoom iniziano dal basso per arrivare fino alle informazioni più recenti.
6 aprile
Alcuni distretti scolastici vietano Zoom
Alcuni distretti scolastici in Europa hanno iniziato a vietare agli insegnanti di utilizzare Zoom per insegnare a distanza nel mezzo dell’epidemia di coronavirus, citando problemi di sicurezza e privacy che circondano l’app di videoconferenza. Il Dipartimento della Pubblica Istruzione di New York ha esortato le scuole a passare a Microsoft Teams “il prima possibile”.
Zoom account trovati sul dark web
La società di sicurezza informatica Sixgill ha rivelato di aver scoperto che qualcuno in un popolare forum del dark web aveva pubblicato un collegamento a una raccolta di 352 account Zoom compromessi. Sixgill ha dichiarato a Yahoo Finance che questi collegamenti includevano indirizzi e-mail, password, ID meeting, chiavi e nomi host e il tipo di account Zoom. La maggior parte erano personali, ma non tutti.
“Uno apparteneva a un importante fornitore di servizi sanitari degli Stati Uniti, altri sette a vari istituti di istruzione e uno a una piccola impresa”, ha dichiarato Sixgill.
La risposta di Zoom alle preoccupazioni sulla sua sicurezza è imperniata su Washington, DC. La compagnia ha detto che stava cercando di far crescere la sua presenza e aveva assunto Bruce Mehlman, un ex assistente segretario del commercio per la politica tecnologica sotto il presidente George W. Bush.
Causa per class action
Una class action è stata depositata contro Zoom in California, citando i tre problemi di sicurezza più importanti sollevate dai ricercatori: L’azienda ha una politica di sicurezza incompleta end-to-end di crittografia, e la vulnerabilità che consente azioni dannose per gli utenti e che consente accesso alla webcam.
5 aprile
Chiamate Zoom vengono erroneamente instradate attraverso i server autorizzati cinesi.
In una sua dichiarazione, Zoom ha ammesso che alcune videochiamate sono state “erroneamente” instradate attraverso due server cinesi autorizzati quando non avrebbero dovuto passare da li per motivi di privacy. Alcuni incontri sono stati “autorizzati a connettersi ai sistemi in Cina, dove non avrebbero dovuto essere in grado di connettersi”, ha detto. Il passaggio in server cinesi ha un evidente problema di privacy in quanto la Cina consente, anzi obbliga, alla registrazione in chiaro di tutto quanto passa da loro, con evidente mancanza di riservatezza.
3 aprile
Record di videochiamate Zoom lasciate visualizzabili sul web
Un’indagine del Washington Post ha scoperto che migliaia di registrazioni di videochiamate Zoom sono state lasciate non protette e visualizzabili sul web aperto. Un gran numero di chiamate non protette con informazioni di identificazione personale, come sessioni di terapia privata, chiamate di visite mediche a domicilio, riunioni di piccole imprese che discutevano i bilanci di società private e classi di scuole elementari con informazioni sugli studenti esposte.
Attaccanti che pianificano “Zoomraids”
Le piattaforme di social media, tra cui Twitter e Instagram, venivano utilizzate da aggressori anonimi come spazi per organizzare “Zoomraids” – il termine per Zoombombings di massa coordinati in cui gli intrusi molestano e abusano dei partecipanti alle riunioni private. Gli abusi segnalati durante Zoomraids hanno incluso l’uso di immagini razziste, antisemite e pornografiche, nonché molestie verbali.
Zoom si scusa, di nuovo
Zoom ha ammesso che il suo sistema di cifratura personalizzato è scadente e un rapporto Citizen Lab ha evidenziato come venisse utilizzando AES-128 invece della crittografia AES-256. In una risposta diretta, Yuan ha detto pubblicamente: “Ci rendiamo conto che possiamo fare meglio con il nostro supporto di crittografia.”
2 aprile
Ricercatori di sicurezza hanno rivelato che uno strumento automatizzato è stato in grado di trovare circa 100 ID riunioni Zoom in un’ora, raccogliendo informazioni per quasi 2.400 riunioni Zoom in un solo giorno di scansioni, come riportato dall’esperto di sicurezza Brian Krebs.
1 aprile
SpaceX vieta Zoom
SpaceX azienda di Elon Musk ha vietato ai dipendenti di usare Zoom, citando “significativi problemi di privacy e sicurezza”.
Molti i difetti di sicurezza scoperti
Nuovi studi tecnici hanno scoperto che l’applicazione stava permettendo che gli indirizzi e-mail e le foto degli utenti venissero recuperati da sconosciuti tramite una funzione liberamente progettata per funzionare come directory aziendale.
Scuse dal Fondatore Yuan
Yuan ha rilasciato scuse pubbliche in un post sul blog e ha promesso di migliorare la sicurezza. Ciò includeva l’abilitazione di sale d’attesa e la protezione con password per tutte le chiamate. Yuan ha anche affermato che la società congelerà gli aggiornamenti delle funzionalità per risolvere i problemi di sicurezza nei prossimi 90 giorni.
27 marzo
Zoom rimuove la funzione di raccolta dei dati di Facebook
In risposta alle preoccupazioni sollevate dall’indagine tecnica, Zoom ha rimosso la funzione di raccolta dati di Facebook dalla sua app iOS e si è scusato.
“I dati raccolti dall’SDK di Facebook non includevano alcuna informazione personale dell’utente, ma includevano piuttosto i dati sui dispositivi degli utenti come il tipo e la versione del sistema operativo mobile, il fuso orario del dispositivo, il sistema operativo del dispositivo, il modello e il gestore del dispositivo, le dimensioni dello schermo, il processore core e spazio su disco “.