Z jednej strony widzimy bardzo popularne oprogramowanie do czatów wideo, z drugiej strony rosnące obawy o bezpieczeństwo i prywatność; to nasuwa pytanie: czy Zoom jest bezpieczny?
Zoom zwiększył liczbę codziennych użytkowników spotkań z 10 milionów w grudniu 2019 do 300 milionów w kwietniu 2020. Z tym ogromnym zainteresowaniem chcieliśmy zadać niektóre pytania, które przychodzą wszystkim do głowy, Emrahowi Aydinowi, kierownikowi ds. Marketingu, Zoom Video Emerging Rynki.
Badacze bezpieczeństwa ogłosili, że dane osobowe zostały udostępnione stronom trzecim, takim jak Facebook. Co z tym zrobiłeś?
Bardzo poważnie traktujemy prywatność naszych użytkowników i podjęliśmy działania, aby rozwiązać ten problem – więcej informacji można znaleźć w naszym poście na blogu tutaj.
Pierwotnie wdrożyliśmy funkcję „Zaloguj się przez Facebook”, aby zapewnić naszym użytkownikom inny wygodny sposób dostępu do naszej platformy. Kiedy dowiedzieliśmy się, że Facebook SDK zbiera niepotrzebnie informacje o urządzeniu, zdecydowaliśmy się usunąć Facebook SDK z naszego klienta iOS. Co ważne, informacje zebrane przez Facebook SDK nie obejmowały informacji i działań związanych ze spotkaniami, ale raczej informacje o urządzeniach, takie jak typ i wersja mobilnego systemu operacyjnego.
W ciemnej sieci były dane osobowe użytkowników 500K Zoom. Czy nasze dane zostały skradzione przy użyciu Zoom?
Często zdarza się, że usługi internetowe, które służą konsumentom, są celem tego rodzaju działań, co zazwyczaj wiąże się z testowaniem przez złych aktorów dużej liczby już naruszonych danych uwierzytelniających z innych platform, aby sprawdzić, czy użytkownicy nie wykorzystali ich ponownie w innym miejscu.
Ten rodzaj ataku zazwyczaj nie wpływa na naszych dużych klientów korporacyjnych, którzy używają własnych systemów jednokrotnego logowania. Zatrudniliśmy już wiele firm wywiadowczych, aby znaleźć te zrzuty haseł i narzędzia używane do ich tworzenia, a także firmę, która zamknęła tysiące witryn internetowych próbujących nakłonić użytkowników do pobrania złośliwego oprogramowania lub zrzeczenia się poświadczeń.
Wciąż badamy, blokujemy konta, które okazały się być zagrożone, prosząc użytkowników o zmianę haseł na coś bezpieczniejszego i rozważamy wdrożenie dodatkowych rozwiązań technologicznych, które wzmocnią nasze wysiłki.
Ponadto podczas seminarium internetowego Zoom „Ask Eric Anything” w dniu 15 kwietnia Alex Stamos przedstawił dokładny przegląd podejścia Zoom do identyfikowania i ograniczania przypadków poświadczeń konta sprzedawanych w ciemnej sieci. Więcej informacji o tym, jak to się robi, można znaleźć w nagraniu webinaru tutaj – z dyskusją na ten temat rozpoczynającą się w okolicach znaku 32:29.
Zoom bardzo poważnie traktuje prywatność swoich użytkowników. Zoom zbiera tylko dane od osób korzystających z platformy Zoom, które są niezbędne do świadczenia usługi i zapewnienia jej skutecznego świadczenia w szerokim zakresie ustawień, w których mogą działać nasi użytkownicy.
Czy Zoom szyfruje nasze spotkania, czy nie?
Informacje na temat praktyk szyfrowania Zoom można znaleźć w tym post na blogu iw tym papier do szyfrowania. Co ważne, cała zawartość wideo, audio i czatu jest szyfrowana przez cały czas przesyłania przez system Zoom.
Nowy Zoom 5.0 obsługuje 256-bitowy GCM AES, jeden z najbezpieczniejszych stosowanych obecnie standardów szyfrowania, co stawia Zoom jako lidera w branży w zakresie bezpieczeństwa szyfrowania otwartej i interoperacyjnej komunikacji wideo na dużą skalę. Zoom planuje oferować kompleksowe szyfrowanie swoich spotkań w pewnym momencie w przyszłości, a firma udostępniła aktualne informacje na ten temat podczas cotygodniowego seminarium internetowego 15 kwietnia. Zobacz pełne nagranie tutaj – z dyskusją na ten temat rozpoczynającą się około 39:42.
Co zrobić, aby nie doświadczyć incydentu Zoombombing?
Byliśmy głęboko zdenerwowani słysząc o tego typu incydentach. Zoom zdecydowanie potępia takie zachowanie i niedawno zaktualizował kilka funkcji, aby pomóc naszym użytkownikom łatwiej chronić ich spotkania.
Domyślnie włączyliśmy hasła do spotkań i wirtualne poczekalnie dla użytkowników zapisanych do naszego programu K-12, a także dla naszych użytkowników Free Basic i Single Pro. W przypadku użytkowników zapisanych do naszego programu dla szkół podstawowych i ponadpodstawowych zaktualizowaliśmy także domyślne ustawienia udostępniania ekranu, aby zapewnić, że tylko nauczyciele mogą udostępniać treści na zajęciach.
Dla wszystkich użytkowników sprawiliśmy, że identyfikator spotkania Zoom jest mniej widoczny, aby zapobiec niezamierzonemu udostępnianiu, i dodaliśmy nową ikonę bezpieczeństwa do elementów sterujących spotkaniem Zoom dla wszystkich hostów, aby pomóc im szybko uzyskać dostęp do funkcji bezpieczeństwa podczas spotkania, w tym możliwość usuwaj uczestników i blokuj spotkania, między innymi. W najnowszej wersji Zoom dostępna jest nowa funkcja “ Zgłoś użytkownika ” w ikonie bezpieczeństwa dla gospodarzy spotkań i współgospodarzy, aby oznaczyć użytkowników, którzy niewłaściwie wykorzystują platformę, do naszego zespołu ds. Zaufania i bezpieczeństwa.
Powiększenie opublikowano blog 20 marca z wytycznymi dla użytkowników, jak uniemożliwić nieproszonym gościom dołączanie do spotkań Zoom.
Czy Zoom to chińska firma? Czy nasze dane przechodzą przez Chiny i czy powinniśmy się tym martwić?
Zoom to amerykańska firma, notowana na giełdzie NASDAQ i prowadzona przez obywatela amerykańskiego, z siedzibą w San Jose w Kalifornii i biurami na całym świecie. Cały kod źródłowy Zoom jest przechowywany i wersjonowany w Stanach Zjednoczonych.
Programiści Zoom w Chinach są w dużej mierze zarządzani przez nasz zespół inżynierów w Stanach Zjednoczonych i wykonują swoje obowiązki zgodnie z decyzjami projektowymi i architektonicznymi podjętymi przez grupę Zoom’s US Engineering.
Ci programiści w Chinach nie mają żadnego dostępu do środowiska produkcyjnego Zoom, uprawnień ani dostępu do wprowadzania istotnych zmian na naszej platformie ani środków dostępu do treści spotkań. Co ważne, w całej inżynierii Zoom, niezależnie od lokalizacji, nasi inżynierowie mają dostęp tylko do kodu źródłowego wymaganego do ich określonej funkcji.
Zoom wykorzystuje solidną globalną sieć, aby wspierać naszych użytkowników, zarówno bezpłatnych, jak i płatnych, natywnie kierując ruch przez strefę spotkań, która zapewni najlepszą wydajność. Podczas gdy ostatnie zmiany zapewniają dodatkową opcjonalność dla płatnych klientów Zoom, bezpłatni użytkownicy będą nadal obsługiwani przez centra danych w ich domyślnym regionie geograficznym, w którym ich konto jest obsługiwane, z dodatkowymi najlepszymi praktykami w zakresie geofencing.
Były firmy i rządy zakazujące Zoom, a niektóre także ostrzegały przed użyciem. Co robisz w związku z tymi działaniami?
Jesteśmy w kontakcie z urzędami rządowymi i koncentrujemy się na dostarczaniu potrzebnych im informacji, w tym na temat naszej dostosowanej oferty Zoom for Government, która jest hostowana w oddzielnej chmurze i spełnia określone specyfikacje polityki bezpieczeństwa FedRAMP, aby podejmować świadome decyzje dotyczące ich zasad.
Wiele globalnych instytucji, od największych na świecie firm świadczących usługi finansowe, po wiodących dostawców usług telekomunikacyjnych, agencje rządowe, uniwersytety i inne, przeprowadziło wyczerpujące przeglądy bezpieczeństwa naszych warstw użytkowników, sieci i centrów danych oraz z pewnością wybrało Zoom do pełnego wdrożenia.
Zoom traktuje bezpieczeństwo użytkowników bardzo poważnie i regularnie dostarcza aktualizacje na temat kroków, które podejmujemy, aby jeszcze bardziej wzmocnić naszą platformę.
Istnieje również zarzut, że istnieje złośliwe oprogramowanie, które może rejestrować spotkania Zoom nieznane gospodarzom i uczestnikom. Co o tym myślisz?
Jest to wektor ataku, na który podatne są wszystkie aplikacje systemu Windows – nie tylko Zoom. Przeprowadzenie tego ataku zgodnie z opisem wymaga od użytkownika samodzielnej instalacji złośliwego oprogramowania na swoim komputerze. Po uruchomieniu to złośliwe oprogramowanie może, podobnie jak każdy inny złośliwy program, kontrolować i zmieniać zachowanie wszelkich lokalnie uruchomionych aplikacji, w tym Zoom.
Zoom ma szybko rosnącą bazę użytkowników, jak długo Twoje systemy mogą to wytrzymać?
Wszystkie nasze usługi są obecnie w pełni operacyjne – możesz zapoznać się z naszą stroną ze statusem https://status.zoom.us aby uzyskać najnowsze aktualizacje.
Jesteśmy przekonani, że nasza architektura została stworzona, aby sprostać tym rosnącym poziomom aktywności. Nasza platforma ujednoliconej komunikacji została zaprojektowana od podstaw z myślą o rozwiązaniu najtrudniejszego technologicznie aspektu komunikacji: wideo. Konkretnie: