Al sinds 2016 belooft Zoom zijn gebruikers om hun gegevens te beschermen met end-to-end encryptie. Meteen na het eindigen van een Zoom-meeting zou de opname versleuteld worden en veilig worden opgeslagen. Dat bleek niet zo te zijn. Nog altijd is end-to-end-versleuteling geen standaard optie voor Zoom-gebruikers. Zoom heeft zijn gebruikers dus jarenlang misleid.
Zoom loog over de implementatie van end-to-end-versleuteling van zijn dienst. Hoewel de videocallspecialist al sinds 2016 claimt dergelijke encryptie aan te bieden, gebruikt het bedrijf in de praktijk een minder veilige vorm van beveiliging. Beveiligingssleutels worden bewaard op servers van Zoom zelf, waarvan er sommige in China staan. End-to-end-encryptie impliceert dat de beveiliging tot stand komt tussen de eindgebruikers en zelfs de aanbieder van een dienst niet mee kan kijken. Bij Zoom is dat niet het geval.
Om de enorme beveiligingsblunder van Zoom aan te pakken, heeft de Federal Trade Commission een aantal regels opgelegd voor het videoconferencing platform. Zo moet Zoom voortaan jaarlijks de beveiliging evalueren. Elke twee jaar moet de beveiliging ook worden gecontroleerd door een externe partij.
Naast de jaarlijkse evaluaties, moet Zoom een plan opstellen om kwetsbaarheden aan te pakken. Ook moet het bedrijf voorzorgsmaatregelen voor zijn beveiliging treffen, zoals multi-factor authentificatie en de mogelijkheid om data te verwijderen. Hoewel de FTC niet eist dat Zoom end-to-end encryptie invoert, kondigde het videoconferencing platform afgelopen maand aan de functie toe te voegen in een technische preview.
Verder moet Zoom zijn software-updates controleren op beveiligingsfouten en zorgen dat ze geen externe beveiligingsmaatregelen belemmeren. Dat laatste gebeurde in 2018, toen een Zoom update een anti-malware functie in Safari omzeilde.
Geen tegemoetkoming voor klanten
Als het gaat om de privacy van zijn gebruikers is Zoom eerder reactief dan proactief. De laatste maanden maakte de videoconferencing tool al meerdere privacy blunders. Daarom is het opvallend dat de eisen die de FTC oplegt alleen beveiligingsproblemen aanpakken en niet de privacyzorgen die erbij horen. Zorgen omtrent privacy zijn juist de reden dat consumenten zich druk maken om de beveiliging van een programma.
De afspraak tussen de FTC en Zoom bevat geen hulp voor getroffen partijen. Er is geen financiële tegemoetkoming en ook geen andere verantwoordelijkheid. Zoom hoeft zelfs niet kenbaar te maken aan zijn klanten dat de eerdere claims over end-to-end encryptie onjuist waren. Organisaties die een contact met Zoom hebben, kunnen er niet zomaar onderuit, ondanks de valse beloftes die Zoom heeft gemaakt. Momenteel lopen er wel meerdere rechtszaken van investeerders en consumenten die uiteindelijk tot financiële tegemoetkomingen kunnen leiden.