Zoom laat weten dat het per direct de ontwikkeling van nieuwe functies voor zijn videoconferencingsoftware voor 90 dagen stopzet, om zich eerst te richten op het verbeteren van de security en privacy. Het schakelt ook een externe partij in voor een beveiligingsaudit.
Door de uitbraak van het coronavirus, en de daaropvolgende maatregelen om zoveel mogelijk in ons kot te blijven, kennen digitale communicatie- en samenwerkingstools een enorme populariteit. Ook Zoom zag het gebruik van zijn videoconferencingsoftware explosief toenemen. Dat bracht ook een verhoogde controle op zijn veiligheids- en privacynormen met zich mee.
Daarbij maakte Zoom geen al te beste beurt. Zo liet Zooms privacybeleid tot vorige week toe om gebruikersdata, waaronder transcripten en chatberichten, te gebruiken om advertenties te serveren, en lag het onder vuur omdat zijn iOS-app inlogtijden en apparaatinformatie deelde met Facebook. Zoom is daarop teruggekomen en heeft zijn privacybeleid aangepast, maar daarmee was de kous nog niet af.
Lees ook: De privacyproblemen achter Zoom, Slack en Hangouts
Zoom beweert ook dat het end-to-end-encryptie aanbiedt, maar die claim blijkt simpelweg onwaar te zijn. Er is wel transportversleuteling van de stream, maar dat is iets anders. Bovendien werden deze week nog verschillende kwetsbaarheden ontdekt in de Windows- en Mac-clients, die respectievelijk wachtwoorden kunnen prijsgeven of een aanvaller de controle over je Mac laten overnemen. Ondertussen heeft Zoom voor beide clients een update uitgebracht.
Zoombombing
En dan is er nog het probleem van Zoombombing, waarbij publieke Zoom-meetings worden verstoord door internettrollen. Dat kan zomaar, omdat Zoom zijn meetings niet standaard met een wachtwoord beveiligt. Iedereen die de link van je meeting in handen krijgt, kan deelnemen. ZoomBombing lijkt vooral een populair tijdverdrijf bij verveelde tieners die wat keet willen schoppen, maar neemt stilaan problematische proporties aan. Zelfs de FBI stuurde reeds een waarschuwing uit.
De privacy- en securityproblemen leiden tot bezorgdheid bij gebruikers. SpaceX, het ruimtevaartbedrijf van Elon Musk, gebruikte tot voor kort Zoom om te vergaderen, maar heeft de software nu verboden voor al zijn werknemers. Ook NASA maakte dezelfde beslissing en als de problemen zich blijven opstapelen, valt niet uit te sluiten dat nog andere organisaties zullen volgen.
Deze week schakelde Zoom een versnelling hoger om de schade te beperken. Het publiceerde een blogpost over de encryptie van zijn platform en erkent daarin dat het de term end-to-end-versleuteling foutief heeft gebruikt. “Voor alle duidelijkheid: tijdens een vergadering waarbij alle deelnemers Zoom-clients gebruiken en de meeting niet wordt opgenomen, versleutelen we alle video-, audio-, schermdelings- en chatinhoud bij de verzendende client en decoderen we deze op geen enkele punt voordat het de ontvangende clients bereikt”, klinkt het.
Feature freeze
In een andere blogpost zet het bedrijf uiteen welke maatregelen het de afgelopen weken reeds heeft getroffen met betrekking tot security en privacy, en wat het nog plant te doen. Zo wordt gedurende 90 dagen een ‘feature freeze’ ingevoerd om alle middelen in te zetten op het verbeteren van de security en privacy van het platform.
Daarnaast wordt een externe partij aangetrokken voor een beveiligingsaudit en wordt het huidige bugbountyprogramma verder uitgebreid. Zoom belooft verder meer transparantie te geven over het gebruik van data en gaat op zoek naar dialoog met CISO’s uit de industrie voor best practices op vlak van privacy en security.
Als reactie op de problemen verklaart Zoom-oprichter Eric Yuan in de blogpost dat Zoom in de eerste plaats is gebouwd voor gebruik in bedrijven met eigen IT-support. “We hebben het product echter niet ontworpen met het vooruitzicht dat binnen enkele weken iedereen ter wereld plots vanuit huis zou werken, studeren en socializen”, legt Yuan uit. Hij geeft nog mee dat het aantal dagelijkse deelnemers aan Zoom-meetings sinds december vorig jaar is gestegen van 10 tot 200 miljoen.