З чого все почалося?
«Принаймні в 2016 році Zoom вводила користувачів в оману, заявляючи, що
У скарзі FTC стверджується, що компанія Zoom навмисно брехала, що пропонує наскрізне шифрування в своїх інструкціях щодо дотримання вимог HIPAA за червень 2016 року і липень 2017 року.
HIPAA или Health Insurance Portability and Accountability Act - Акт про мобільність і підзвітності медичного страхування, який було прийнято 21 серпня 1996 року. Акт був створений, щоб модернізувати потік медичної інформації, передбачити, як особиста інформація, що зберігається в медичних установах і медичних страхових галузях, повинна бути захищена від шахрайства та крадіжок.
Компанія Zoom також заявляла, що пропонуєнаскрізне шифрування в офіційному документі від січня 2019 року, в повідомленні в блозі від квітня 2017 року і в прямих відповідях на запити клієнтів, говориться в скарзі FTC.
«Фактично, Zoom не забезпечував належне наскрізнешифрування для будь-яких зустрічей Zoom, тому що сервери компанії (деякі з них, до речі, знаходяться в Китаї) підтримують криптографічні ключі, які дозволять розробникам отримувати доступ до контенту Zoom Meetings своїх клієнтів », - йдеться в скарзі FTC.
Також агентство стверджує, що Zoom «ввівв оману деяких користувачів, які хотіли зберігати записані зустрічі в хмарному сервісі компанії, помилково заявивши, що всі відеоконференції були зашифровані відразу після їх завершення. Замість цього, деякі записи нібито зберігалися в незашифрованому вигляді в течії 60 днів на серверах Zoom до їх переносу в безпечне хмарне сховище».
Компромісне рішення Zoom
Щоб владнати звинувачення, Zoom погодився звимогою FTC створити та впровадити комплексну програму безпеки, заборонити спотворення інформації про конфіденційність та безпеку та впровадити низку інших докладних заходів щодо захисту своєї користувальницької бази, яка з 10 млн у грудні 2019 року різко зросла до 300 млн у квітні 2020 року під час пандемії COVID- 19.
Відзначається, що цифри 10 і 300 млн відносяться до кількості щоденних учасників зборів Zoom.
Чи отримають користувачі компенсацію?
План з регулювання ситуації з Zoomпідтримується республіканською більшістю в FTC, але демократи в комісії різко виступають проти, і ось чому. Справа в тому, що заявлене угода не передбачає компенсації користувачам.
«Сьогодні Федеральна торгова комісіяпроголосувала за пропозицію врегулювання з Zoom, але є проблема, - заявив комісар FTC від демократів Рохіт Чопра. - Врегулювання не робить ніякої допомоги порушених обманом користувачам. Воно нічого не робить для малого бізнесу, який покладався на вимоги Zoom про захист даних. І не вимагає від компанії ні копійки. Комісія повинна змінити курс ».
«Zoom не повинна пропонувати відшкодування збитків,відшкодування або навіть повідомляти своїх клієнтів про те, що компанії пред'являлися претензії через безпеку та брехню в заяві її представників, — підкреслює комісар Демократичної партії Ребекка Келлі Слотер. — Цей пролом у запропонованому врегулюванні надає ведмежу послугу клієнтам Zoom». Хоча угода накладає зобов'язання щодо безпеки, Слотер заявила, що вона не включає вимог, які безпосередньо захищають конфіденційність користувачів.
Нові претензії до & Zoom
Zoom окремо стикається з судовими позовами з боку інвесторів і споживачів, які, в кінцевому підсумку, можуть призвести до фінансових втрат з боку компанії.
Угода Zoom/FTC насправді не вимагаєнаскрізного шифрування. Хоча, минулого минулого року Zoom і оголосив, що розгортає наскрізне шифрування в технічній попередній версії. Насправді, угода вимагає, щоб компанія вжила таких заходів:
- Вимагати від користувачів захистити облікові записи надійними унікальними паролями;
- використовувати автоматичні інструменти для виявлення спроб входу до системи без участі користувача;
- Обмежити швидкість спроб входу до системи для мінімізації ризику атаки методом грубої сили;
- Скинути паролі для відомих скомпрометованих облікових даних.
Zoom погоджується на моніторинг безпеки
Пропоноване врегулювання підлягаєгромадського обговорення протягом 30 днів, після чого FTC проголосує за те, щоб зробити його остаточним. 30-денний період обговорення почнеться після публікації врегулювання в Федеральному реєстрі. Зі справою FTC і відповідними документами можна ознайомитися тут.
В оголошенні FTC мовиться, що Zoom погодився зробити наступні кроки:
- Щорічно оцінювати і документувати будь-які потенційні внутрішні та зовнішні ризики безпеки і розробляти способи захисту від них;
- Впровадити програму керування вразливістю;
- Забезпечити нові заходи безпеки - такі, як багатофакторна аутентифікація - для захисту від несанкціонованого доступу до своєї мережі;
- Контролювати видалення даних з серверів;
- Вжити заходів для запобігання використанню відомих скомпрометованих облікових даних користувача.
Частина вимог, що стосуються видалення даних, вимагає, щоб всі заявлені копії даних були вилучені протягом 31 дня.
Zoom буде зобов'язаний повідомити FTC про будь-якихпорушеннях безпеки даних, і йому буде заборонено «спотворювати інформацію про свої методи забезпечення конфіденційності та безпеки. У тому числі про те, як він збирає, використовує, підтримує або розкриває особисту інформацію», - йдеться в повідомленні FTC.
Крім того, компанії доведеться перевірити всіоновлення програмного забезпечення на предмет уразливості. Zoom також отримає сторонню оцінку своєї оновленої програми безпеки після врегулювання претензії. Перевірки будуть повторюватися кожні два роки. Ця вимога буде діяти протягом наступних 20 років.
Замість висновків - офіційну відповідь Zoom
«Безпека наших користувачів — головнийпріоритет для Zoom. Ми серйозно ставимося до довіри, яку користувачі надають нам щодня. В кінці кінців, вони розраховують, що ми підтримуватимемо їх зв'язок під час безпрецедентної глобальної кризи, і ми постійно вдосконалюємо наші програми безпеки і конфіденційності. Ми пишаємося досягненнями, які ми зробили на нашій платформі, і ми вже вирішили проблеми, виявлені FTC. Сьогоднішня угода з FTC відповідає нашому прагненню до інновацій і вдосконалення нашої продукції».
Читати також
Льодовик «Судного дня» виявився небезпечніше, ніж думали вчені. розповідаємо головне
Дослідження: у частині людей є антитіла до коронавірус, хоча вони їм не хворіли
Вчені виявили в Австралії двох нових ссавців