marzo 29, 2024

Zoom ha estado mintiendo a los usuarios sobre el cifrado de extremo a extremo durante años, dice la FTC

El fundador de Zoom, Eric Yuan, habla con Nasdaq.
Acercarse / El fundador y director ejecutivo de Zoom, Eric Yuan, habla antes de la ceremonia de la campana de apertura de Nasdaq el 18 de abril de 2019 en la ciudad de Nueva York, cuando la compañía anunció su OPI.

Zoom acordó actualizar sus prácticas de seguridad en un intento de acuerdo con la Comisión Federal de Comercio, que afirma que Zoom ha estado mintiendo a los usuarios durante años al afirmar que ofrece cifrado de extremo a extremo.

“[S]Al menos en 2016, Zoom engañó a los usuarios para que afirmaran que ofrecía “cifrado de extremo a extremo de 256 bits” para proteger las comunicaciones de los usuarios, cuando en realidad proporcionaba un nivel de seguridad más bajo “, dijo hoy la FTC en su anuncio. su queja contra Zoom y el acuerdo provisional. A pesar de la promesa de cifrado de extremo a extremo, la FTC dijo que “Zoom ha conservado las claves criptográficas que podrían permitir a Zoom acceder al contenido de las reuniones de sus clientes y ha protegido sus Zoom Meetings, en parte, con un nivel de cifrado menor al prometido. “

La queja de la FTC establece que Zoom dijo que ofrece cifrado de extremo a extremo en sus guías de cumplimiento de HIPAA de junio de 2016 y julio de 2017, dirigidas a los usuarios de atención médica del servicio de videoconferencia. Zoom también dijo que ofrece cifrado de extremo a extremo en un documento técnico de enero de 2019, una publicación de blog de abril de 2017 y respuestas directas a consultas de clientes y prospectos, según la queja.

“De hecho, Zoom no proporcionó cifrado de extremo a extremo para ninguna reunión de Zoom que se llevó a cabo fuera del producto” Connecter “de Zoom (que está alojado en los servidores de un cliente), porque los servidores de Zoom, incluidos algunos ubicados en China, conservan claves criptográficas que permitirían a Zoom acceder al contenido de las reuniones de Zoom de sus clientes ”, afirma la denuncia de la FTC.

El anuncio de la FTC también establece que Zoom también “engañó a algunos usuarios que querían archivar las reuniones grabadas en el almacenamiento en la nube de la empresa al afirmar falsamente que esas reuniones estaban encriptadas inmediatamente después de que terminara la reunión. En cambio, algunas grabaciones supuestamente no se archivaron. cifrado durante hasta 60 días en los servidores de Zoom antes de ser transferido a su almacenamiento seguro en la nube “.

Para resolver las acusaciones, “Zoom aceptó la obligación de establecer e implementar un programa de seguridad integral, la prohibición de reclamos falsos de privacidad y seguridad, y otros remedios detallados y específicos para proteger su base de usuarios, que ha crecido se disparó de 10 millones en diciembre de 2019 a 300 millones en abril de 2021 durante la pandemia de COVID-19 “, dijo la FTC.

Sin compensación para los usuarios afectados

El acuerdo está respaldado por la mayoría republicana de la FTC, pero los demócratas del comité se han opuesto porque el acuerdo no prevé tarifas para los usuarios.

“Hoy, la Comisión Federal de Comercio votó para proponer un acuerdo con Zoom que sigue una fórmula desafortunada de la FTC”, dijo el comisionado demócrata de la FTC, Rohit Chopra. “El acuerdo no brinda ninguna ayuda a los usuarios afectados. No hace nada por las pequeñas empresas que se han basado en las reclamaciones de protección de datos de Zoom. Y no requiere que Zoom pague un centavo. La Comisión tiene que cambiar de rumbo”.

Según el acuerdo, “Zoom no está obligado a ofrecer compensaciones, reembolsos o incluso notificar a sus clientes que las afirmaciones materiales sobre la seguridad de sus servicios eran falsas”, dijo la comisionada demócrata Rebecca Kelly Slaughter. “Esta falla de la solución propuesta hace un flaco favor a los clientes de Zoom y limita sustancialmente el valor de disuasión del caso”. Aunque el acuerdo impone obligaciones de seguridad, Slaughter dijo que no incluye requisitos que protejan directamente la privacidad del usuario.

Zoom está abordando por separado las demandas de inversores y consumidores que eventualmente podrían conducir a acuerdos financieros.

El acuerdo Zoom / FTC en realidad no aplica el cifrado de extremo a extremo, pero Zoom anunció el mes pasado que está implementando el cifrado de extremo a extremo en una vista previa técnica para obtener comentarios de los usuarios. La transacción requiere que Zoom implemente medidas “(a) exigir a los usuarios que protejan sus cuentas con contraseñas complejas y únicas; (b) utilizar herramientas automatizadas para identificar intentos de inicio de sesión no humanos; (c) intentos de inicio de sesión con limitación de frecuencia para minimizar el riesgo de un ataque de fuerza bruta y (d) implementar el restablecimiento de contraseña para las credenciales comprometidas conocidas “.

La FTC califica a ZoomOpener de injusto y engañoso

La queja y el acuerdo de la FTC también cubren la controvertida implementación del servidor web ZoomOpener que eludió los protocolos de seguridad de Apple en computadoras Mac. Zoom “instaló en secreto” el software como parte de una actualización de Zoom para Mac en julio de 2018, dijo la FTC.

“El servidor web ZoomOpener permitió que Zoom iniciara automáticamente y se uniera a un usuario en una reunión sin pasar por la protección del navegador Safari de Apple que protegía a los usuarios de un tipo común de malware”, dijo FTC. “Sin el servidor web ZoomOpener, el navegador Safari habría proporcionado a los usuarios una ventana de advertencia, antes de iniciar la aplicación Zoom, preguntando a los usuarios si querían iniciar la aplicación”.

El software “aumentó el riesgo de que los usuarios de vigilancia remota se vean por extraños” y “permaneció en las computadoras de los usuarios incluso después de eliminar la aplicación Zoom, y bajo ciertas circunstancias reinstalaría automáticamente la aplicación Zoom, sin ninguna acción de parte del usuario “, dijo la FTC. La FTC afirmó que la implementación del software por parte de Zoom sin el aviso adecuado o el consentimiento del usuario violaba la ley estadounidense que prohíbe las prácticas comerciales desleales y engañosas.

En medio de la controversia en julio de 2019, Zoom lanzó una actualización para eliminar por completo el servidor web de su aplicación Mac, como informamos en ese momento.

Zoom acepta monitoreo de seguridad

La transacción propuesta está sujeta a comentarios públicos durante 30 días, después de lo cual la FTC votará si se hace definitiva. El período de comentarios de 30 días comenzará una vez que la transacción se publique en el registro federal. El caso de la FTC y los documentos relevantes se pueden ver aquí.

El anuncio de la FTC establece que Zoom se ha comprometido a seguir los siguientes pasos:

  • Evaluar y documentar todos los años los posibles riesgos de seguridad internos y externos y desarrollar formas de protegerse contra dichos riesgos;
  • Implementar un programa de gestión de vulnerabilidades; es
  • Implementar salvaguardas como la autenticación de múltiples factores para proteger contra el acceso no autorizado a su red; instituir controles sobre la eliminación de datos; y tomar medidas para evitar el uso de credenciales de usuario conocidas comprometidas.

La parte de eliminación de datos de la transacción requiere que todas las copias de los datos identificados para su eliminación se eliminen dentro de los 31 días.

Zoom tendrá que notificar a la FTC de cualquier violación de datos y se le prohibirá “hacer declaraciones falsas sobre sus prácticas de privacidad y seguridad, incluida la forma en que recopila, usa, almacena o divulga información personal; sus características de seguridad; y hasta qué punto los usuarios pueden controlar la privacidad o seguridad de su información personal “, se lee en el anuncio de la FTC.

Zoom deberá revisar todas las actualizaciones de software para detectar fallas de seguridad y asegurarse de que las actualizaciones no impidan las funciones de seguridad de terceros. La empresa también deberá obtener evaluaciones de terceros de su programa de seguridad una vez que se finalice el acuerdo y una vez cada dos años a partir de entonces. Este requisito tiene una duración de 20 años.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *