Федеральная торговая комиссия (FTC) США заявила, что сервис видеоконференций Zoom с 2016 года предоставлял ложную информацию о наличии оконечного шифрования, обманывая собственных пользователей.
Во время пандемии коронавируса Zoom был самым популярным и используемым сервисом для видеозвонков по рабочим и учебным вопросам. На официальном сайте и в руководстве по безопасности компания утверждала, что серьезно относится к конфиденциальности, считая ее высшим приоритетом, а потому использует оконечное шифрование. На деле же это утверждение оказалось ложью.
Вводящие в заблуждение заявления Zoom давали пользователям ложное чувство безопасности, утверждают в FTC.
«Это непозволительно, так как площадка использовалась для конференций, в которых участвовали медицинские и финансовые компании», — говорится в сообщении торговой комиссии.
Стоит отметить, что 88% пользователей сервиса — малые предприятия, а по всему миру Zoom использовали 300 млн человек, чьи разговоры легко могли быть прослушаны злоумышленниками.
Директор Института информационных технологий университета «Синергия» Станислав Косарев в беседе с «Газетой.Ru» отметил, что Zoom не в первый раз сталкивается с проблемами, связанными с безопасностью и конфиденциальностью пользователей.
«Особо пристальное внимание на видеомессенджер обратили с начала пандемии. С переходом на «удаленку» все начали использовать системы видеосвязи. Тогда
в Zoom сразу же нашли несколько уязвимостей.
Компания заявляла, что использует исключительно оконечное шифрование, но это оказалось не так. Один из примеров уязвимостей был найден летом. Любой пользователь мог зайти в конференцию методом подбора и попадал в чужой незашифрованный разговор», — рассказывает Косарев.
Более того, в заявлении FTC указано, что Zoom обладал криптографическими ключами, которые могли позволить сервису получить доступ к сеансам связи своих клиентов. Комиссия утверждает, что записи видеозвонков хранились на серверах без шифрования до 60 дней и только потом передавались на зашифрованные серверы.
«Фактически Zoom не обеспечивал должное сквозное шифрование для любых встреч пользователей в сервисе, потому что серверы компании (некоторые из них находятся в Китае) поддерживают криптографические ключи, которые позволяют разработчикам получать доступ к контенту Zoom Meetings всех своих пользователей», — сделали вывод в комиссии.
Сам сервис Zoom быстро отреагировал на обвинения, сообщив, что не намеревался обманывать своих пользователей, а также признав, что его понятие оконечного шифрования отличается от общепринятого.
Также сервис пообещал ввести многофакторную аутентификацию и тем самым усилить безопасность.
В соответствии с условиями соглашения с FTC Zoom должен предпринять конкретные шаги для решения проблем, указанных в жалобе комиссии.
Компании также «запрещается искажать информацию о своей политике конфиденциальности и безопасности», включая положения о сборе и использовании персональных данных клиентов.
Также независимая третья сторона должна оценивать уровень защищенности Zoom каждые два года и в случае обнаружения нарушений уведомлять FTC. Сообщается, что в ходе разбирательств с комиссией стоимость акций Zoom упала на 14%.
Проблемы безопасности в Zoom известны уже давно, и компания предпринимает определенные шаги в этом направлении, рассказал «Газете.Ru» Маским Смирнов, коммерческий директор компании IVA Technologies.
«Так, недавно было анонсировано начало внедрения в сервис внедрения сквозного шифрования. Но это процесс небыстрый и, главное, к нему надо подходить ответственно, чтобы не ухудшить сервис, например, в плане скорости его работы. Сам факт, что разработчик озадачился этой проблемой и приступил к ее решению, не может не радовать. Правда, тут необходимо учитывать, что используемые технологии шифрования должны соответствовать требованиям регуляторов из разных стран», — считает эксперт.
Валерия Бунина