Vorig jaar rond deze tijd was ‘zoom’ slechts een woord dat verband hield met snelheid. Maar de pandemie heeft het videoconferentieplatform Zoom tot een alledaags hulpmiddel gemaakt voor zakenmensen die overleggen over bedrijfsgeheimen, artsen en professionals in de geestelijke gezondheidszorg die gevoelige patiënteninformatie bespreken, kinderen die schoolwerk doen en de rest van ons die alles deelt, van de details van het dagelijks leven tot vertrouwelijke familiezaken. Dat blijkt uit een onlangs aangekondigde FTC-klachtZoom zou zich schuldig hebben gemaakt aan misleidende en oneerlijke praktijken die consumenten misleidden over de veiligheid van hun communicatie op het platform en bepaalde gebruikers in gevaar brachten toen het bedrijf bestaande beveiligingsfuncties in de Safari-browser verbrak. De voorgestelde schikking zou van Zoom vereisen dat het zijn veiligheidsbeloften nakomt en een alomvattend programma implementeert dat is ontworpen om consumenteninformatie in de toekomst te beschermen.
Gebruik Zoom slechts een paar keer en u begrijpt de omvang van de gegevens die het bedrijf verzamelt: namen, e-mailadressen, geschatte locaties, creditcardnummers, identiteiten van deelnemers en de enorme hoeveelheid informatie die wordt verzameld wanneer mensen de service gebruiken – inclusief chats, berichten, bestanden en opnames van vergaderingen die zijn opgeslagen in de cloudopslag van Zoom. Zoom is zich duidelijk bewust van de zorgen van consumenten over de veiligheid van hun communicatie en beweert op zijn website en elders dat het ‘de beveiliging serieus neemt’, dat het ‘privacy en veiligheid als de hoogste prioriteit plaatst’ en dat het ‘zich inzet voor de bescherming van uw privacy’.
Op zijn site, in zijn app, in beveiligingsgidsen en in directe communicatie met potentiële klanten maakt Zoom prominent melding van “end-to-end AES 256-bit encryptie” voor alle vergaderingen. End-to-end-encryptie is een manier om de communicatie zo te beveiligen dat alleen de afzender en de ontvanger – en niemand anders, zelfs de platformaanbieder niet – de inhoud kunnen lezen. AES 256-bit-codering is een zeer sterk coderingsniveau en kan dus worden gebruikt om “TOP SECRET”-berichten te beveiligen. Volgens een Zoom-blogpost uit 2015 maakt “Zoom’s gebruik van AES 256-encryptie” het “voor een hacker onmogelijk om iets anders te verkrijgen dan een onleesbare transmissie….” Het bedrijf verklaarde ook aan zorgverleners dat “end-to-end AES 256-bit encryptie voor alle vergader- en instant messaging-gegevens” het platform geschikt maakt voor de toenemende beveiligingsbehoeften van telezorg-videoconferenties.
Dat beweert het bedrijf, maar volgens de FTC levert Zoom veel minder op. Zoom biedt voor de meeste Zoom-vergaderingen geen end-to-end-encryptie omdat Zoom-servers – waaronder enkele in China – cryptografische sleutels bijhouden waarmee Zoom toegang heeft tot de inhoud van de vergaderingen van zijn klanten. Bovendien zei de FTC dat de bewering van het bedrijf over “256-bit-encryptie” vals of misleidend was, omdat Zoom een lager encryptieniveau biedt en dus minder bescherming biedt.
Voor betalende klanten biedt Zoom ook de mogelijkheid om hun vergaderopnames direct na afloop van de vergadering op te slaan in de beveiligde cloud van Zoom. Volgens de FTC worden de opnames echter tot 60 dagen zonder versleuteling op Zoom-servers opgeslagen voordat ze worden overgebracht naar de beveiligde cloudopslag van Zoom, waar ze versleuteld worden opgeslagen.
De FTC beweerde ook dat Zoom voor Mac-gebruikers software installeerde – ZoomOpener genaamd – die bepaalde privacy- en veiligheidsproblemen met zich meebracht. Mac-bezitters zullen het zeker willen lezen klacht voor details, maar hier is een samenvatting. Om te helpen beschermen tegen malware en kwaadwillenden heeft Apple zijn Safari-browser bijgewerkt, zodat gebruikers een dialoogvenster moeten gebruiken wanneer een website of link een externe applicatie probeert te starten. Dus als consumenten een uitnodigingslink voor een Zoom-vergadering ontvangen, moeten ze op “oké” klikken om de Zoom-applicatie te openen en deel te nemen aan de vergadering. Om dit dialoogvenster te vermijden, heeft Zoom in juli 2018 zijn app voor Mac bijgewerkt met ZoomOpener-software. Het bedrijf beweerde dat het doel van de update was om ‘kleine bugfixes’ te voltooien, maar de FTC zei dat Zoom iets anders in gedachten had. In feite omzeilt de “oplossing” van Zoom deze beveiligingen in de Safari-browser van Apple. Het resultaat: consumenten kunnen automatisch deelnemen aan Zoom-vergaderingen terwijl hun camera’s ook automatisch zijn ingeschakeld, tenzij consumenten hun standaard Zoom-video-instellingen hebben gewijzigd.
Belangrijk is dat Zoom geen compenserende maatregelen heeft geïmplementeerd om gebruikers te beschermen, en de FTC beschuldigde Zoom’s tactieken achter de schermen om Mac-gebruikers schade toe te brengen. No-goodnik kan bijvoorbeeld phishing-e-mails verzenden die eigenlijk vermomde Zoom-uitnodigingen zijn. Als consumenten op een link klikken, kan er zonder hun toestemming een Zoom-vergadering worden geopend en kunnen vreemden hen via de webcam bespioneren of malware op hun computers installeren. Zelfs als een gebruiker de Zoom-app verwijdert, blijft ZoomOpener bestaan – samen met de kwetsbaarheden die daarmee gepaard gaan. Bovendien kan Zoom de Zoom-applicatie opnieuw installeren zonder toestemming of medeweten van de gebruiker. Apple heeft in 2019 de ZoomOpener-webserver van de computers van gebruikers verwijderd.
Dat voorgestelde administratieve klacht beschuldigde Zoom ervan de FTC-wet te hebben geschonden door misleidende claims voor end-to-end-encryptie, valse beloften over het geboden niveau van encryptie en misleidende verklaringen over veilige cloudopslag voor opnames van vergaderingen. Bovendien beweerde de FTC dat Zoom’s installatie van ZoomOpener op oneerlijke wijze de privacy- en beveiligingsbescherming van derden omzeilde en dat Zoom er op frauduleuze wijze niet in slaagde consumenten volledige informatie over ZoomOpener te verstrekken.
Dat voorgestelde oplossing verbiedt Zoom om verschillende soorten valse verklaringen af te leggen met betrekking tot privacy en veiligheid. Het vereist ook dat Zoom een informatiebeveiligingsprogramma implementeert dat onder meer beveiligingsbeoordelingen voor alle nieuwe software omvat vóór de release, een programma voor kwetsbaarheidsbeheer, regelmatige beveiligingstrainingen voor alle werknemers, speciale training voor ontwikkelaars en ingenieurs, en een onafhankelijke programmabeoordeling door een gekwalificeerde derde partij binnen 180 dagen en daarna elke twee jaar gedurende de komende 20 jaar. Zodra de voorgestelde schikking in het Federal Register is gepubliceerd, accepteert de FTC gedurende 30 dagen openbare commentaren.
Hoewel Zoom de meeste praktijken die in de klacht worden aangevochten heeft stopgezet, is de meest effectieve weg naar toekomstige naleving alomvattende beveiligingswijzigingen die worden beoordeeld door gekwalificeerde derde partijen, gecontroleerd door de FTC en afdwingbaar zijn voor de rechtbank. De honderden miljoenen consumenten die elke dag op Zoom vertrouwen om zaken te doen, gezondheidszorg te verkrijgen, hun kinderen onderwijs te geven en contact te maken met familieleden, hebben het volste recht om van het bedrijf te verwachten dat het stappen onderneemt om hun persoonlijke gegevens te beschermen.
Op zoek naar meer informatie over het gebruik van videoconferentieplatforms? Lezen Videoconferenties: 10 privacytips voor uw bedrijf.
