A Zoom adatvédelmi botrány

Forrás: in.mashable.com

A utóbbi hónapokat gyökerestül megváltoztató koronavírus, az az a COVID-19, az élet szinte minden területén nagy felfordulást okozott. A munkahelyünket beköltöztettük otthonainkba és igyekeztünk alkalmazkodni a kialakul helyzethez. Ezt az átállást sokban segítették az olyan nagy cégek, mint a Google, hogy a feladatok elvégzéséhez többek közt ingyenessé tették videóhívás szolgáltatásukat, a Meet-et. Ugyanezt a lépést a Zoom is megtette, ám nagy port kavart maga után az egymás után fellépő adatvédelmi hibáival.

 A botrány kezdete

A videókonferencia platform hirtelen megugró felhasználó számától olyan biztonsági problémák léptek fel, amelyre úgy tűnik nem számítottak. Csak tavaly decemberben az alkalmazásban az egy napon belül indított meetingek résztvevőinek száma 10 millió volt. Néhány hónappal később, márciusra ez az érték a 200 milliót is átlépte. Ennek a Zoom csapata örülhetne is, ha nem jöttek volna csőstül a gondok.

Adatmegosztás

Forrás: zoom.us

A Zoom iOS alkalmazása megosztotta a felhasználók adatait, többek közt a legnagyobb közösségi oldallal is, a Facebookkal.- számolt be a hwsw.hu. A cég ellen Kaliforniában indítottak pert, mely szerint a ha egy felhasználó bejelentkezett egy konferenciahívásba, akkor a Zoom az ügyfél adatait átadta a Facebooknak. Olyan adatokat mint a híváshoz használt készülék:

• típusa,
• operációs rendszere,
• kijelzőmérete,
• és egyedi azonosítója.

A gond abban rejlett hogy az adatmegosztásról a felhasználók nem kaptak megfelelő tájékoztatást. Ezt a Zoom elismerte, bár kiemelték hogy ez csak a Facebook profillal történő bejelentkezés során történt így, amiről állításuk szerint maga a cég sem tudott. Ám az utóbbi állítás erősen megkérdőjelezhető, mert a per szerint jó néhány cég fizetett is a Zoomnak az adatok megosztásáért. A videóchat üzemeltetői ezt nem ismerték el.

Adatvédelmi irányelvek módosítása

A fent említett ügy után a vállalat csavart egyet a botrányon még alá ásva becsületüket, ugyanis módosítottak az adatvédelmi irányelveiken. Az eredeti verzió ugyanis számos olyan kiskaput hagyott nyitva, mely megengedte hogy információkat gyűjtsön az online platformon folyó beszélgetésekről, akár a videóanyagról vagy az elhangzottakról.

Zoombombing jelenség

Tovább bonyolódott a helyzet mikor a videóbeszélgetésekbe hívatlanul kapcsolódtak be emberek. Ez úgy történhetett meg hogy a rendszer egy véletlenszerűen generált ID kódot hoz létre, amelynek birtokában bárki becsatlakozhat a beszélgetéshez. Így néhányan akik ezzel szórakozni kívántak véletlenszerűen elkezdtek beírogatni kódokat és becsatlakoztak a hívásokhoz. Egy konkrét esetet megemlítve, melynek okán a céget ismét a bíróság elé állították, egy San Franciscó-i hit gyülekezet online bibliaórájába kapcsolódott be valaki és pedofil tartalmakat kezdett el megosztani.- írta cikkében a 444.hu. Mivel sok esetben oda nem illő, obszcén tartalmakat mutogattak, ezért a Zoom egy fél megoldással válaszolt, amellyel csak az oktatásban használt fiókokat védte meg. A cég továbbá figyelmeztette a felhasználókat hogy a beszélgetések hozzáférési kódját ne terjesszék széles körben.

Figyelem követő funkció

A Zoom a munkahelyeket megcélozva hozta létre a figyelemkövető funkciót, mellyel az adminisztrátorok jelzést kapnak, ha a felhasználónál (tehát az alkalmazottnál) fél percnél hosszabb időre kerül háttérbe az alkalmazás. Sőt, az is követhető vele, milyen programokat használ a felhasználó. Mivel nagy felháborodást keltett a funkció, az üzemeltetők úgy döntöttek teljes egészében törlik azt.

Lopható Windows jelszavak

A Zoom csevegőjében ugyancsak találtak biztonsági rést: a rendszer kattintható hivatkozássá alakítja át a linkelt útvonalakat, amire ha a felhasználó rákattint, a Windows elküldi a bejelentkezéshez szükséges adatokat. Ha ezt egy olyan helyre küldi az operációs rendszer, amit egy hacker figyel, az könnyedén visszafejtheti a hashelt változatból az adatokat.- derül ki a hvg.hu cikkéből.
Az FBI figyelmét azért is keltette fel ez a probléma, mivel a Zoomot a világ vezető politikusai is igénybe veszik és ezzel támadhatóvá válnak. A tények ismeretében vizsgálatot indítottak és további gondok merültek fel a szolgáltatás titkosítását illetően.

Megrendült bizalom, de csak a Zoom hibás?

Forrás: bingepost.com

A hvg.hu cikke szerint a folyamatosan kiderülő súlyos biztonsági hibák miatt egyre több neves cég kényszerült megtiltani a Zoom használatát, például a Google, a NASA és a SpaceX, de már az oktatási intézmények sem javasolják a használatát. Bár mutogathatunk a cég üzemeltetői felé, de talán a felhasználók is hibáztak valamelyest. A forbes.hu szerint a hackerek 7 évre visszamenőleg gyűjtöttek össze felhasználói fiókokat és próbálták ki, hogy még működik-e a hozzájuk tartozó jelszavakkal. A legtöbb esetben sikerrel jártak, mivel a felhasználó a fiók feltörése után nem változtatott jelszavat, vagy nem is tudott róla hogy illetéktelenek léptek be a fiókjába.

A Zoom ígérete

Eric Yuan, a Zoom vezérigazgatója, elismerte az eddig felmerült hibákat és jogosnak tartja az aggodalmakat. A botránysorozatot követően a Zoom elnézést kért, és ígéretet tett a biztonság helyrehozására, annak ellenőrzésére pedig külsős szakértőket is bevonnak. Addig is következő időszakra leállította az új funkciók fejlesztését és minden erejükkel a cég tisztára mosására törekednek majd.

Források:
HWSW- Zoom: szárnyalásból adatvédelmi botránysorozat
444- Egy amerikai gyülekezet beperelte a Zoomot
HVG- Windows-jelszavak lophatók a hirtelen népszerűvé vált Zoommal
HVG- A Google megtiltotta a Zoom használatát
Forbes- Félmillió Zoom felhasználó adatait árulták bagóért a dark weben