צור קשר

הגנה על נתונים

זום: שיטות מפוקפקות דלפו ב-Github.

לַחֲלוֹק:

יצא לאור

on

תוכנת ועידת הווידאו המרוחקת ZOOM, שצברה לפתע פופולריות במהלך המגיפה, עקפה בהצלחה את תוכנות הווידאו המסורתיות כמו Skype, Teams והפכה לכלי הפופולרי ביותר. יש לו מאות מיליוני משתמשים פעילים מדי יום, והוא נמצא אפילו בשימוש על ידי סוכנויות ממשלתיות רבות. עם זאת, התוכנה נחשפה שוב ושוב לדליפות נתונים ופגיעויות אבטחה בזו אחר זו, מה שמשך תשומת לב רחבה מצד רשויות הרגולציה.

לאחרונה, ב-30 במאי, מישהו שטוען שהוא טכנאי בכיר ב-ZOOM פרסם מאגר ב-Github המציג "ראיות" שהחברה שומרת בסתר מידע משתמש ומספקת אותו למוסדות הממשלתיים בארצות הברית.


למשתמשי ZOOM אין אוטונומיה של נתונים.

לפי המדליף: "ממשלת ארה"ב ביקשה מזום לשמר את נתוני המשתמשים המעניינים, לרבות אלה שכבר נמחקו על ידי המשתמשים, כך שיוכלו להשיג כל נתוני משתמש. על מנת לעמוד בבקשות מסוג זה, זום שינתה את הכלי שלהם כדי להעמיד פנים שהנתונים נמחקו רק נותן לנתונים שנמחקו מאפיין נסתר, ולכן שמירה על נתוני המשתמשים תוך גורם למשתמשים שלהם להאמין שהנתונים נמחקו, כלי זה עוזר להעתיק ולשמר בסתר היסטוריית פגישות נתונים ופרטי משתתפים, הקלטות ענן, הודעת צ'אט, תמונות, קבצים, Zuora (. מערכת חיוב, zuora.com), SFDC (מערכת CRM, salesforce.com), טלפון/כתובת, כתובת לחיוב וכרטיסי אשראי/חוב באמצעות שיבוט ושיקוף נתונים. מערכת עם הופעתך ברשימת היעד, גם אם אינך מציג התנהגות בלתי חוקית, כל הפעולות שלך בזום יועברו למעקב ישיר ולרשות מחלקות אכיפת החוק באופן חופשי."


ניטור משתמשים באמצעות מערכת דלת אחורית (מעקב אחר מערכת סיום TOS Violators Automated).

לפי המסמך שפורסם: "מטה זום השלים את המו"פ של מערכת ניטור סודית לפני זמן רב. זה נקרא "Tracking Automated TOS Violators Termination System" שה-IP הפנימי שלה הוא "se.zipow.com/tos". לא יאוחר מ-2018, המערכת הוכנסה ליישום, תוך מעקב אחר משתמשים חינמיים כמו גם משתמשי פרימיום ומשתמשים ארגוניים. הפונקציות העיקריות של המערכת הן חיפוש אוטומטי של פגישות רגישות, גישה חופשית לפגישות ללא סיסמה או אישור מארח פשוט על ידי הדלת האחורית של המערכת, ניתוח אקראי של תוכן וידאו מפגישות, הקלטות סודיות של סרטונים, אודיו, צילומי מסך של פגישות והפקת דיווחים או נתונים בהתאם למחלקות הפיקוח בארה"ב, כמו גם הפסקת פגישות רגישות ואיסור על חשבונות קרובים. המערכת חסויה ביותר ונפתחת רק למספר עובדים פנימיים. זום אולי מסבירה שהמערכת הזו פותחה למלחמה בפשע, אבל זום צריכה להכיר בכך שהמערכת מראה שיש לה יכולת לפקח על משתמשים וכבר עושה זאת. אנשים צריכים לדאוג אם זום תנצל לרעה את המערכת למטרות המכונה "ביטחון לאומי" או למטרות עסקיות של ארה"ב, ואפילו באופן אקראי, לעתים קרובות, ללא הבחנה, לנטר משתמשים גלובליים ולגנוב את הנתונים האישיים שלהם בקנה מידה גדול".


מערכת ניהול קצה אחורי של זום.

לפי ההדלפה: "למערכת ניהול הקצה האחורי של זום יש סמכות עליונה על כל חשבונות זום. זה נועד לסייע בניהול חשבונות משתמש של זום. עם זאת, למערכת זו יש כמה פונקציות בדלת אחורית אשר עשויות להפר את נתוני פרטיות המשתמש. חלק מהפונקציות הן מעבר לאמונה, כאשר עובד זום לוחץ על כפתור "התחבר", עם אישורי משתמש זה, הוא יכול להיכנס לחשבון של משתמש זה באותו אופן שבו המשתמש עצמו מתמודד עם החשבון שלו. כך, לעובד יש את אותה הזכות לטפל בחשבון של משתמש זה, לבדוק הכל בחשבון, להשתמש במפתח הפרטי של המשתמש כדי לראות קבצים חסויים, רישומי פגישות, צ'אטים IM, מיילים, הקלטות טלפון וחיובים. המשמעות היא שמדד ההצפנה "ee2e" הוא חזית חסרת משמעות. מלבד הרשאה זו, עובדי Zoom יכולים לשנות או למחוק נתונים מקומיים של משתמשים, ואפילו לשלוט או להשתיל מרחוק דלת אחורית במכשירים קרובים כמו Zoom Room באמצעות מערכת זו. בהשוואה לניהול חשבונות משתמש על ידי מסד נתונים מגובה, מערכת זו הופכת את זה לנוח יותר לצוות זום לנטר את התנהגויות המשתמשים ולאחזר את הנתונים שלהם תוך התעלמות ממדד ההצפנה."


הפרת הבטחה ושימוש בנתוני משתמש ללמידת מכונה.


לדברי המלשין: "אריק יואן, מנכ"ל זום, הכריז פעם כי "אנחנו מתחייבים כעת לכל הלקוחות שלנו שלא נשתמש באף אחד מצ'אטי האודיו/וידאו, שיתוף המסך שלהם. קבצים מצורפים ותקשורת אחרת כמו תוצאות סקר, לוח ותגובות כדי לאמן את שלנו דגמי אל או דגמי אל של צד שלישי". ממה שאני יודע, זום להוטה לפתח את אל, מכיוון שהחברה זקוקה ל-Al כדי לגלות אי-לגיטימיות בשיחות ועידה בווידאו כדי למנוע סיכוני ציות, לזהות משתמשי הונאה כדי לצמצם הפסדים כלכליים, ולנתח מגמה עסקית ומיקוד השירות כדי להשיג יותר רווחים. בעזרת אל, זום, בהנחיית רשויות אכיפת החוק, משתמשת ב"TATVTS" נגד משתמשים. "מערכת המעקב האוטומטית להפסקת TOS Violators Termination System" שהוזכרה לעיל יכולה לזהות באופן אוטומטי פגישות חשודות באמצעות הישענות למכונה, להצטרף לפגישות ללא סיסמה והרשאה של המארח, לנתח את תוכן הפגישה ולצלם בסתר צילומי מסך וסרטונים של משתתפים ותוכן הפגישה. מאומן על ידי נתונים שנאספים במערכת, "TATVTS" הופכת אינטליגנטית יותר בזיהוי פגישות ומשתמשים שבהם רשויות אכיפת החוק עשויות לגלות עניין. כך הנתונים הפרטיים של משתמשים תמימים רבים הופכים לדוגמאות לאימון מודל למידת המכונה של זום ומפרים את פרטיות הנתונים של המשתמשים".


בעיות פרטיות ואבטחה עלולות ליצור סיכונים רציניים ולפגוע בממשלות, ארגונים, אנשים פרטיים כמו גם סודות מסחריים בעידן הדיגיטלי. זום, כתוכנת ועידת הווידאו המובילה בעולם, נחשפה יותר מפעם אחת לדליפת נתוני משתמש ומידע אחר. במהלך המגיפה, אירופה גם חיזקה את חוקי הגנת המידע נגד חברות ענק אמריקאיות ברשתות חברתיות. בשנת 2022, האיחוד האירופי וארה"ב חתמו על מסגרת פרטיות הנתונים. ברור ששני הצדדים חייבים לכבד את המסגרת המשפטית בהגנה על הפרטיות האישית של המשתמשים, במיוחד הגנת מידע. אנו גם מקווים ש-ZOOM תוכל ללמוד מהצרות המשפטיות הקודמות שלה ולהתחיל להתייחס ברצינות לנושאי מידע והגנה על נתונים.

לקריאה נוספת ומידע טכני, אנא היכנסו לקישור הבא:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

כתב האיחוד האירופי יצר קשר עם זום להערה אך הם לא השיבו.

שתף מאמר זה:

EU Reporter מפרסם מאמרים ממגוון מקורות חיצוניים המבטאים מגוון רחב של נקודות מבט. העמדות שננקטו במאמרים אלה אינן בהכרח אלה של האיחוד האירופי Reporter.

יעדים פופולריים