Even genoeg over het corona virus, deze blog gaat over software die momenteel redelijk massaal wordt gebruikt voor videovergaderingen, namelijk Zoom. Het is gebleken dat Zoom het meest populair is onder de thuiswerkers. Dit is tot op zekere hoogte opvallend te noemen waar Zoom toch al bijna 10 jaar oud is maar nu explosief groeit. Momenteel wordt Zoom gezien als het meest aantrekkelijke alternatief voor de bekende namen als Skype en Google Hangouts. In deze blog echter een kritische blik op Zoom en haar gebreken. Want dat zijn er nogal wat. In dit blog geven we dan ook antwoord op de vraag: Zoom onveilig of niet?
Momenteel (april 2020) worden de apps van het bedrijf gemiddeld 240.000 keer per dag gedownload. Vergelijk dit met de 85.000 uit het ‘verleden’ en het moge duidelijk zijn dat Zoom flink profiteert van de corona crisis. Ondanks dat Zoom gratis is, zullen veel bedrijven er toch voor betalen om zich zo niet te limiteren tot de beperkingen van de gratis versie (100 deelnemers en max 40 minuten per sessie). De prijs? Die is vergelijkbaar met Netflix, dus voor de gemiddelde organisatie meer dan prima te betalen. Analisten zijn er zelfs van overtuigd dat Zoom alleen al in januari ruim 67 miljoen extra omzet heeft gedraaid waar het aantal maandelijkse gebruikers dit jaar met 2,2 miljoen gebruikers is toegenomen. Dat zijn nog eens kwartaalcijfers. Maar was Zoom hier klaar voor? Het antwoord is, helaas voor Zoom en voor u als mogelijke gebruiker, nee.
“Zoom gooit privacy van gebruikers te grabbel!” zo luidt een kop boven een artikel eerder deze week. Dit stuk kwam tot stand na onderzoek van auteur en journalist David Searls”. Zijn belangrijkste bevinding? Zoom deelt allerlei data met advertentiebedrijven en daar kan je als gebruiker niets tegen doen. Kijkend naar het privacybeleid van Zoom kan je een groot aantal vragen stellen. Zo staat er onder andere dat Zoom gebruik maakt van bepaalde advertentietools die persoonlijke data vereisen. Maar, waarom heeft een platform voor videovergaderingen persoonlijke data nodig voor advertenties? Het is toch geen marketingbedrijf? Dit is al opvallend. Maar het wordt nog een stukje enger wanneer je nadenkt over welke persoonlijke data zij beschikken. Dit kan namelijk zomaar hele persoonlijke informatie zijn. Bijvoorbeeld een psychiater die via het platform met een patiënt spreekt. Dus als Zoom die informatie aan derden verstrekt, dan heb je straks gepersonaliseerde advertenties met informatie afkomstig uit jouw Zoom gesprekken? Niemand die daar op zit te wachten. En wat is het motief van Zoom? Nog meer geld? Waarom zouden ze dan niet gewoon de prijs van hun dienst wat verhogen? Het is namelijk bijzonder populair, dus dat zou hun winst aanzienlijk doen stijgen. Maar nee, Zoom kiest ervoor om uw persoonlijke data op te slaan en te delen met derden. En dat brengt ons bij het tweede deel van deze Zoom saga.
Zoom wordt inmiddels aangeklaagd in de Verenigde Staten voor het delen van data met Facebook, dat bericht bereikte ons afgelopen dinsdag. Niet dat dit ons heel veel verbaasde, want eind maart werd al duidelijk dat de Zoom iOS applicatie alles wat jij uitspookt doorlekt naar Facebook, ook al heb je geen account. Wat er dan zoal gelekt werd? Nou, het volgende.
Op het moment dat dit naar buiten kwam en Zoom de bui wel voelde aankomen, was hun oplossing ‘opvallend’ te noemen. In plaats van een update voor de, op dat moment actuele, versie van Zoom kwamen ze met een hele nieuwe versie. Gebruikers moeten dus een nieuwe iOS applicatie downloaden willen ze hun data beschermen. Maar nu weten wij allemaal hoe laks en lui de gemiddelde persoon is als het aankomt op updates. Dus dankzij deze ‘oplossing’ zal Zoom nog steeds de data verzamelen van diegene die nog niet hebben geüpdatet. Leest u dit en denkt u “Ik gebruik Zoom en heb nog geen update uitgevoerd”, doe dat dan nu even a.u.b! Verder met de aanklacht. Centraal hierin staat het krakkemikkige privacybeleid waar, volgens de aanklagers, niet staat uitgelegd dat de app code bevatte die data naar Facebook en (mogelijk) andere derde partijen doorstuurde. Deel twee van de aanklacht gaat over de hierboven benoemde ‘oplossing’.
“Zoom had alle iOS-gebruikers kunnen dwingen om de nieuwe Zoom-app te updaten, maar Zoom heeft ervoor gekozen dit niet te doen”,
Met name deze gebrekkige oplossing laat zien dat Zoom helemaal geen zin heeft om te stoppen met het verzamelen van data en ook zeker niet schuldbewust is. Naast deze flinke aanklacht heeft het privacybeleid van Zoom ook de aandacht verkregen van de staat van New York. Ergens ook wel indrukwekkend. Minister van Justitie Letitia James verstuurde Zoom een brief met daarin een vraag om opheldering omtrent de maatregelen die Zoom heeft genomen om de enorme toename van gebruikers in goede banen te leiden en daarbij aanvallers buiten de deur te houden. Hierbij haalt de Minister ook het verleden aan waarin Zoom vaak traag op lekken reageerde. Voor de minister van Justitie genoeg reden tot zorgen. Zijn deze terecht? Ja zeker.
Een dag later, inmiddels woensdag 1 april, werd Zoom langzaamaan trending op Twitter. Waarom? Omdat het al snel, en op pijnlijke wijze, duidelijk werd dat Zoom foto’s en e-mailadressen van gebruikers lekt aan onbekenden. Het probleem wordt veroorzaakt door de “Company Directory” instelling van Zoom, die automatisch mensen aan de contactenlijst van de gebruiker toevoegt die zich met een e-mailadres met hetzelfde domein hebben aangemeld. Het gevolg? Deze gebruikers krijgen van elkaar de naam, profielfoto en het e-mailadres te zien.
En na zo’n week dan kan je eigenlijk nog maar een ding, en dat is door het stof. Zo heeft Zoom gister erkent, ze hadden ook niet echt een andere optie, dat het met “privacy- en veiligheidsproblemen” te maken heeft. Daarnaast heeft Zoom zijn excuses gemaakt voor het onterecht beweren dat de software gebruik maakte van end-to-end encryptie. Tel dat op bij het gebrekkige privacybeleid, het lekken van data en een scala aan gevonden kwetsbaarheden en je hebt een bewogen weekje. In een statement erkent Zoom alle problematiek en heeft het aangekondigd om geen nieuwe features meer te ontwikkelen de komende negentig dagen. In plaats daarvan worden alle ontwikkelaars op het verhelpen van privacy- en veiligheidsproblemen gezet. Daarnaast zullen er ook externe partijen worden ingeschakeld om de veiligheid van de software te controleren. Als iemand van Zoom dit blog toevallig leest, wij spitten graag jullie software door. Neem even contact op!
Wij begrijpen dat thuiswerkers vaak geen keuze hebben in welke software er gebruikt wordt voor thuiswerken. Echter zouden wij wel willen benadrukken dat wij, gelet op alle issues, Zoom niet zouden aanraden. Hetgeen u net heeft gelezen is een week naar boven gekomen en wie weet wat er allemaal nog begraven ligt. Daarnaast zijn er ook geen garanties gegeven vanuit Zoom dat uw data ook verwijderd zal worden door de derde partijen. Ook al heeft u mogelijk geen zeggenschap over de te gebruiken software, zouden wij toch willen adviseren om het aan te kaarten indien uw werkgever gebruik maakt van Zoom. Er zijn nog genoeg andere alternatieven die misschien wat beter voorbereid zijn op jullie komst zoals Google Hangouts en Skype. Maar is Zoom onveilig? Het antwoord is Ja.