Zoom nog lang niet veilig
Nog maar een paar weken geleden was alles nog “normaal”. We vergaderden op kantoor, bezochten onze (potentiële) klanten persoonlijk, volgden cursussen, trainingen in zaaltjes op meer of minder inspirerende locaties. En toen…. werd alles anders! Ineens gaan we niet meer op bezoek maar doen we aan videobellen, werken we thuis, vergaderen we online, volgen we Webinars en E-learning trainingen.
Met grote verwondering en bewondering zie ik hoe snel en massaal we in staat zijn om te schakelen. In deze eerste weken zie je mn de omschakeling naar de wat ik noem “laag hangend fruit”-applicaties. Applicaties die zo min mogelijk kosten, liefst gratis, snel zijn te implementeren en waarvan het gebruik eenvoudig is en snel voor grote groepen aan te leren.
Zoom is zo’n applicatie. De basis versie is gratis, eenvoudig te installeren en makkelijk in gebruik. En voor wie het wat minder snel onder de knie krijgt zijn er meer dan voldoende gratis Webinars te volgen of handleidingen te downloaden. Zoom heeft in korte tijd het aantal gebruikers dan ook in korte tijd zien exploderen van 10.000.000 naar 200.000.000.
De privacy en veiligheidsissues met Zoom
Ook ik heb de vergaderverzoeken in Zoom en gratis webinars aangeboden gekregen. Ik ga er niet op in. Een van mijn vorige rollen was die van AVG functionaris en vanuit die blik heb ik mij verdiept in de ‘privacy rules’ en ‘security’ en ‘service terms’. En ook hier blijkt dat GRATIS niet bestaat.
Zoom verzamelt onnodig veel gegevens en geeft zichzelf veel vrijheid om daarvan gebruik te mogen maken en met derden te delen. Het bedrijf is hierin verre van transparant en dat alleen al is voldoende twijfel over waar je gegevens allemaal ongewild terechtkomen.
Zoom wordt op een onveilige manier geïnstalleerd en geeft zichzelf veel meer rechten op je device dan nodig is. Zoom is de afgelopen jaren meermalen gehackt waardoor hackers mee konden gluren met gebruikers.
Verder zijn er twijfels of het bedrijf voldoende beveiligingsmaatregelen heeft getroffen om de gegevens van haar klanten te beschermen. (Justitie in Amerika is inmiddels een onderzoek gestart). Het lijkt dat hackers eenvoudig kunnen binnendringen. Zowel op Social media en via de FBI komen berichten binnen over verstoorde videoconferenties. Verder is het voor hackers wellicht ook mogelijk je wachtwoord te veranderen waardoor bij het inloggen word misleid om het juiste wachtwoord te geven waardoor hackers ook bij andere gegevens kunnen komen. Vandaag las ik nog dat Zoom linkjes naar websites met elkaar laat delen. Deze kunnen verwijzen naar bestanden op je computer waardoor een aanvaller je windows wachtwoord kan stelen (Bron: Evelyn Austin, Stax&Toine)
Duizenden video’s gemaakt met Zoom software zijn vrij zichtbaar zijn op het internet omdat ze niet zijn beschermd door een wachtwoord. Bij een opname kun je kiezen om deze op te slaan op een Zoom-server of elders. Zoom maakt verder gebruik van een zogenaamde ‘naming convention’ die eenvoudig is te herleiden en video’s eenvoudig zijn te traceren. Gesprekken die op straat liggen zijn oa die van gesprekken tussen therapeuten en patiënten, intieme gesprekken waarbij de persoonlijke gegevens bloot worden gegeven etc ( Bron: Washington Post )
Welke alternatieven zijn er?
Zoom is een onveilige applicatie. Zijn er alternatieven? Zeker voor videobellen zijn Whatsapp en Signal bv beschikbaar. Waarbij je Whatsapp prima privé kunt gebruiken maar Signal liever zakelijk. Whatsapp (Facebook) kijkt niet mee met de inhoud van het gesprek maar legt wel vast met wie en wanneer je communiceert. Zo heeft Facebook toegang tot je contactenlijst en de klanten waar je vaak en veel mee belt. Dat is een privacy risico. Ook Skype, Face Time worden door bv de LVVP als niet veilig beschouwd.
Signal is privacy veilig, niet commercieel en de broncode is openbaar. De gespreksinformatie wordt alleen lokaal bij de gespreksdeelnemers opgeslagen. Signal verzamelt geen data en bewaart geen sleutels om bij data te kunnen komen. Andere alternatieven zijn KPN Zorg Messenger, WeSeeDo, Quli,
Als je met meer mensen wil vergaderen zijn Jitsi Meet , Cisco Webex Teams of de betaalde versies van Microsoft Teams of Google meet.
De reactie van Zoom en de laatste ontwikkelingen
Zoals het er nu uitziet zullen de maatregelen mbt de corona uitbraak nog wel even voortduren en is het voor organisaties van belang om hun beeldapplicaties en procedures verder uit te ontwikkelen dan wel te herzien om tot een structureel veilige oplossing te komen. Zeker ook gericht op de verdere toekomst. Een ding is zeker, Ook in het post coronatijdperk zal videobellen, videoconferenties en online webinars een prominente rol blijven spelen.
Note: op 1 april heeft Zoom een bericht uitgestuurd waarin zij de problemen herkennen en gaan oplossen Zoom – Message to our users . De inhoud is een typisch Amerikaans mea-culpa om aan damage control te doen . Het DNA van het bedrijf lijkt niet te veranderen. De oorzaken voor alle problemen (privacy en security) plaats het bedrijf buiten zichzelf. We hadden niet zo’n enorme toestroom van gebruikers verwacht. Ok maar wat heeft dat te maken met het beschermen van privacygegevens en het verzamelen, delen en gebruiken van data. Zoom was oorspronkelijk bedoeld als geïntegreerde oplossing binnen bedrijven. Zoom is een hybride oplossing waar gegevens die van gebruikers wordt verzameld opgeslagen wordt in de Cloud en de inhoud binnen de netwerken van een organisatie. Plat gezegd gaat Zoom er vanuit dat bedrijven de beveiliging regelen en Zoom dit dus niet hoeft te doen.
We gaan zien hoe Zoom de problemen gaat oplossen maar ik zou er vooralsnog geen gebruik van maken en kiezen voor een veiliger alternatief.
Via deze link meer video conference tools . Ik heb voor deze tools onvoldoende inzicht of deze voldoen aan de veiligheids en privacy eisen.
Meer ontwikkelingen met betrekking tot de problemen bij ZOOM zijn te volgen via onderstaande links:
Tomsguide : Zoom security issues: Here’s everything that’s gone wrong (so far)
ZOOM ontwikkeld zich snel. Veiligheid schijnt sterk verbeterd te zijn..
De afgelopen periode is Zoom inderdaad met een aantal veiligheidsupdates gekomen. Er worden echter nog steeds nieuwe lekken gevonden. Verder zijn er twee belangrijke punten die zorgen blijven baren.
1. ZOOM ziet veiligheid nog steeds niet als primaire eis voor al haar gebruikers maar veiligheid wordt nog steeds gebruikt als commercieel instrument. Zo is de aangekondigde end-to-end encryptie in eerste instantie alleen beschikbaar voor betaalde gebruikers. Onder druk denkt ZOOM na of ze ook aan non-profit organisaties ter beschikking moet worden gesteld.
2. Het business model van ZOOM (praktisch onbeperkt kunnen verhandelen van verzamelde data) is niet wezenlijk verandert maar alleen onder druk (van overheden) enigszins aangepast.