Zoom mintió a los usuarios sobre el cifrado de extremo a extremo durante años, dice la FTC


El fundador de Zoom, Eric Yuan, hablando en Nasdaq.
Agrandar / El fundador y director ejecutivo de Zoom, Eric Yuan, habla antes de la ceremonia de la campana de apertura de Nasdaq el 18 de abril de 2019, en la ciudad de Nueva York, cuando la compañía anunció su OPI.

Zoom acordó actualizar sus prácticas de seguridad en un acuerdo tentativo con la Comisión Federal de Comercio, que alega que Zoom mintió a los usuarios durante años al afirmar que ofrecía cifrado de extremo a extremo.

“[S]Desde al menos 2016, Zoom engañó a los usuarios al promocionar que ofrecía ‘encriptación de extremo a extremo de 256 bits’ para proteger las comunicaciones de los usuarios, cuando en realidad brindaba un nivel más bajo de seguridad “, dijo la FTC hoy en el anuncio de su queja contra Zoom y el asentamiento tentativo. A pesar de prometer el cifrado de extremo a extremo, la FTC dijo que “Zoom mantuvo las claves criptográficas que podrían permitirle a Zoom acceder al contenido de las reuniones de sus clientes y aseguró sus Zoom Meetings, en parte, con un nivel de cifrado más bajo de lo prometido. . “

La queja de la FTC dice que Zoom afirmó que ofrece cifrado de extremo a extremo en sus guías de cumplimiento de HIPAA de junio de 2016 y julio de 2017, que estaban destinadas a los usuarios de la industria de la salud del servicio de videoconferencia. Zoom también afirmó que ofrecía cifrado de extremo a extremo en un documento técnico de enero de 2019, en una publicación de blog de abril de 2017 y en respuestas directas a consultas de clientes y clientes potenciales, según la denuncia.

“De hecho, Zoom no proporcionó cifrado de extremo a extremo para ninguna reunión de Zoom que se llevó a cabo fuera del producto ‘Connecter’ de Zoom (que está alojado en los propios servidores del cliente), porque los servidores de Zoom, incluidos algunos ubicados en China, mantienen las claves criptográficas que permitirían a Zoom acceder al contenido de las reuniones de Zoom de sus clientes “, decía la denuncia de la FTC.

El anuncio de la FTC decía que Zoom también “engañó a algunos usuarios que querían almacenar reuniones grabadas en el almacenamiento en la nube de la empresa al afirmar falsamente que esas reuniones se cifraron inmediatamente después de que finalizó la reunión. En cambio, algunas grabaciones supuestamente se almacenaron sin cifrar durante hasta 60 días en Los servidores de Zoom antes de ser transferidos a su almacenamiento seguro en la nube “.

Para resolver las acusaciones, “Zoom aceptó el requisito de establecer e implementar un programa de seguridad integral, una prohibición de tergiversaciones de privacidad y seguridad, y otra reparación detallada y específica para proteger su usuario base, que se ha disparado de 10 millones en diciembre de 2019 a 300 millones en abril de 2020 durante la pandemia de COVID-19 “, dijo la FTC. (Las cifras de 10 millones y 300 millones se refieren al número de participantes diarios en las reuniones de Zoom).

Sin compensación para los usuarios afectados

El acuerdo cuenta con el apoyo de la mayoría republicana de la FTC, pero los demócratas de la comisión se opusieron porque el acuerdo no ofrece compensación a los usuarios.

“Hoy, la Comisión Federal de Comercio ha votado para proponer un acuerdo con Zoom que sigue una fórmula desafortunada de la FTC”, dijo el comisionado demócrata de la FTC, Rohit Chopra. dijo. “El acuerdo no proporciona ayuda para los usuarios afectados. No hace nada por las pequeñas empresas que se basaron en las reclamaciones de protección de datos de Zoom. Y no requiere que Zoom pague un centavo. La Comisión debe cambiar de rumbo”.

Según el acuerdo, “Zoom no está obligado a ofrecer reparación, reembolsos o incluso notificar a sus clientes que las afirmaciones materiales sobre la seguridad de sus servicios eran falsas”, dijo la comisionada demócrata Rebecca Kelly Slaughter. dijo. “Esta falla del acuerdo propuesto perjudica a los clientes de Zoom y limita sustancialmente el valor de disuasión del caso”. Si bien el acuerdo impone obligaciones de seguridad, Slaughter dijo que no incluye requisitos que protejan directamente la privacidad del usuario.

El zoom está orientado por separado demandas de inversores y consumidores que eventualmente podría conducir a acuerdos financieros.

El acuerdo de Zoom / FTC en realidad no exige el cifrado de extremo a extremo, pero Zoom el mes pasado anunciado se está desplegando encriptado de fin a fin en una vista previa técnica para obtener comentarios de los usuarios. El acuerdo requiere que Zoom implemente medidas “(a) que requieran que los usuarios protejan sus cuentas con contraseñas sólidas y únicas; (b) el uso de herramientas automatizadas para identificar los intentos de inicio de sesión no humanos; (c) los intentos de inicio de sesión que limitan la velocidad para minimizar el riesgo de un ataque de fuerza bruta, y (d) implementar restablecimientos de contraseña para Credenciales comprometidas conocidas “.

La FTC califica a ZoomOpener de injusto y engañoso

La queja y el acuerdo de la FTC también cubren la controvertida implementación de Zoom del servidor web ZoomOpener que eludió los protocolos de seguridad de Apple en computadoras Mac. Zoom “instaló en secreto” el software como parte de una actualización de Zoom para Mac en julio de 2018, dijo la FTC.

“El servidor web ZoomOpener permitió que Zoom se iniciara automáticamente y se uniera a un usuario a una reunión al pasar por alto una salvaguarda del navegador Safari de Apple que protegía a los usuarios de un tipo común de malware”, dijo la FTC. “Sin el servidor web ZoomOpener, el navegador Safari habría proporcionado a los usuarios un cuadro de advertencia, antes de iniciar la aplicación Zoom, que preguntaba a los usuarios si querían iniciar la aplicación”.

El software “aumentó el riesgo de los usuarios de la videovigilancia remota por parte de extraños” y “permaneció en las computadoras de los usuarios incluso después de que eliminaron la aplicación Zoom, y reinstalaría automáticamente la aplicación Zoom, sin ninguna acción del usuario, en ciertas circunstancias”, dijo la FTC. . La FTC alegó que la implementación del software por parte de Zoom sin el aviso adecuado o el consentimiento del usuario violaba la ley estadounidense que prohíbe las prácticas comerciales desleales y engañosas.

En medio de la controversia en julio de 2019, Zoom emitió una actualización para eliminar completamente el servidor web de su aplicación Mac, ya que informado en ese momento.

Zoom acepta el monitoreo de seguridad

El acuerdo propuesto está sujeto a comentarios públicos durante 30 días, después de lo cual la FTC votará si lo hace definitivo. El período de comentarios de 30 días comenzará una vez que se publique el acuerdo en el Registro Federal. El caso de la FTC y los documentos relevantes pueden ser visto aquí.

El anuncio de la FTC decía que Zoom acordó tomar los siguientes pasos:

  • Evaluar y documentar anualmente cualquier riesgo potencial de seguridad interno y externo y desarrollar formas de protegerse contra tales riesgos;
  • Implementar un programa de gestión de vulnerabilidades; y
  • Implementar salvaguardas como la autenticación de múltiples factores para proteger contra el acceso no autorizado a su red; instituir controles de eliminación de datos; y tomar medidas para evitar el uso de credenciales de usuario comprometidas conocidas.

La parte de eliminación de datos del acuerdo requiere que todas las copias de datos identificadas para su eliminación se eliminen dentro de los 31 días.

Zoom tendrá que notificar a la FTC de cualquier violación de datos y se le prohibirá “hacer declaraciones falsas sobre sus prácticas de privacidad y seguridad, incluso sobre cómo recopila, usa, mantiene o divulga información personal; sus características de seguridad; y en qué medida los usuarios pueden controlar la privacidad o seguridad de su información personal “, dijo el anuncio de la FTC.

Zoom tendrá que revisar todas las actualizaciones de software para detectar fallas de seguridad y asegurarse de que las actualizaciones no obstaculicen las funciones de seguridad de terceros. La compañía también tendrá que obtener evaluaciones de terceros de su programa de seguridad una vez que se finalice el acuerdo y una vez cada dos años después de eso. Ese requisito tiene una duración de 20 años.

Zoom emitió la siguiente declaración sobre el acuerdo de hoy:

La seguridad de nuestros usuarios es una de las principales prioridades de Zoom. Nos tomamos en serio la confianza que nuestros usuarios depositan en nosotros todos los días, especialmente porque confían en nosotros para mantenerlos conectados a través de esta crisis global sin precedentes, y mejoramos continuamente nuestros programas de seguridad y privacidad. Estamos orgullosos de los avances que hemos realizado en nuestra plataforma y ya hemos abordado los problemas identificados por la FTC. La resolución de hoy con la FTC está en consonancia con nuestro compromiso de innovar y mejorar nuestro producto a medida que ofrecemos una experiencia de comunicaciones por video segura.

Latest articles

Ensalada de pasta griega con brócoli

Este sitio web puede contener enlaces de afiliados y publicidad para que podamos proporcionarle recetas. Leer mi política de privacidad.La ensalada griega...

La sexta y última temporada de LUCIFER obtiene una promoción de anuncio de fecha de estreno – GeekTyrant

Netflix ha lanzado un anuncio promocional para la sexta y última temporada de Lucifer y en esa promoción, anunció que el programa debutará...

Steven Phelan: Historias de startups

Grabado en vivo en la Universidad Mises el 24 de julio de 2021. Encontrar Historias de empresas emergentes: lecciones para emprendedores cotidianos a: Mises.org/Startup
49.6k Followers
Follow

Related articles

Leave a reply

Please enter your comment!
Please enter your name here

Translate »