Mentre il mondo si spostava online durante la pandemia di COVID-19, le piattaforme di videoconferenza sono diventate indispensabili. Zoom è emerso come leader in questo ambito, fornendo un’ancora di salvezza per il lavoro a distanza, l’istruzione e l’interazione sociale. Tuttavia, dietro la sua fulminea ascesa si nasconde una storia preoccupante di violazioni della privacy, vulnerabilità della sicurezza e esagerazione delle aziende. Approfondiremo la relazione complessa e spesso paradossale tra la crescita di Zoom e le sue persistenti sfide alla privacy.
L’impennata della popolarità
All’inizio del 2020, quando sono stati imposti i blocchi a livello globale, la base utenti di Zoom è esplosa da 10 milioni a oltre 200 milioni in pochi mesi. Questo improvviso afflusso di utenti ha evidenziato la comodità e la facilità d’uso della piattaforma, ma ha anche messo in luce importanti debolezze di sicurezza che erano state trascurate durante la sua rapida espansione.
Jonathan Leitschuh, un ricercatore di sicurezza, aveva già lanciato l’allarme nel 2019 scoprendo una grave vulnerabilità che consentiva l’accesso non autorizzato alle webcam. Questa falla, che potrebbe consentire a qualsiasi pagina web di costringere un utente a effettuare una chiamata Zoom, violava i principi fondamentali della privacy e gettava un’ombra sulle pratiche di sicurezza di Zoom.
Quando Zoom divenne un nome familiare, emerse una nuova minaccia: il “bombardamento Zoom”. Hacker e burloni hanno iniziato a infiltrarsi nelle riunioni pubbliche e private, spesso interrompendole con contenuti offensivi. L’FBI ha emesso avvertimenti su questi incidenti, che hanno sollevato dubbi sulla capacità di Zoom di proteggere i propri utenti.
Zoom ha risposto implementando aggiornamenti di sicurezza e introducendo funzionalità come sale d’attesa e password per le riunioni. Tuttavia, queste misure erano spesso reattive, affrontando i sintomi piuttosto che le lacune di sicurezza sottostanti.
Rischi per la privacy e la sicurezza
Sullo sfondo della drammatica crescita del numero di utenti, stanno emergendo in primo piano anche altre questioni sociali derivanti da vulnerabilità di sicurezza di lunga data.
Alla fine di marzo 2020 il noto media Intercept ha diffuso dichiarazioni fuorvianti nel marketing di Zoom. Secondo le affermazioni di Zoom sul suo sito Web ufficiale e in un white paper sulla sicurezza, la piattaforma supporta la crittografia end-to-end per le riunioni. Tuttavia, The Intercept ha verificato che non era così. Quando a un portavoce di Zoom è stato chiesto di confermare se le videoconferenze condotte sulla piattaforma utilizzassero la crittografia end-to-end, il portavoce ha affermato chiaramente: “Non è possibile abilitare la crittografia end-to-end per le videoconferenze Zoom in questo momento”.
Zoom durante quel periodo di tempo utilizzava la crittografia TLS, che è lo stesso standard utilizzato dai browser Web per proteggere i siti HTTPS. Ma la crittografia end-to-end si riferisce in genere alla protezione dei contenuti tra utenti senza alcun accesso aziendale, in modo simile a Signal o WhatsApp. Zoom non offre questo livello di crittografia, quindi l’uso di “end-to-end” è estremamente fuorviante.
Nel settembre 2020, sulla scia delle scarse prestazioni di Zoom, Pridatect ha dichiarato pubblicamente ed esplicitamente che Zoom non era conforme al GDPR. Pridatect ha affermato che Zoom non è in grado di proteggere le comunicazioni private dei suoi utenti, mettendo così a rischio i loro dati, che le informazioni proprietarie sensibili potrebbero essere condivise e che le informazioni potrebbero essere accessibili e rubate.
Sviluppi recenti e integrazione dell’intelligenza artificiale
Una modifica del marzo 2023 ai Termini di servizio di Zoom ha rivelato che Zoom conservava il diritto di eseguire la scansione degli account dei clienti (inclusi video di sessioni potenzialmente riservati e caricamenti di file) per la raccolta di dati AI. Inoltre, Zoom conserva una serie di diritti relativi ai contenuti dei clienti, tra cui (ma non solo) la pubblicazione, la condivisione, la ridistribuzione, la visualizzazione e la creazione di opere derivate, e si concede un “perpetuo, mondiale, non esclusivo, esente da royalty “licenza di utilizzare i contenuti del cliente nel modo ritenuto opportuno. La protesta dei clienti ha portato Zoom a fare alcune concessioni, ma ha comunque violato i termini dell’Unione Europea (UE) che richiedono il consenso per il trattamento dei dati personali.
Zoom è sempre stato coerente nel suo approccio all’occultamento e al comportamento fraudolento nei confronti dei suoi utenti. Il cambiamento del TOS non ha attirato molta attenzione fino a maggio, quando Zoom ha annunciato di aver collaborato con la società di intelligenza artificiale Anthropic per integrare l’assistente virtuale “Claude” nella sua piattaforma, e con OpenAI per creare uno strumento chiamato “Zoom IQ” per gestire automaticamente generare riepiloghi delle riunioni. Negli ultimi quasi tre anni, Zoom è stato criticato e interrogato più volte per questioni come violazioni della privacy dei dati e abuso di privilegi.
Un’altra importante vulnerabilità è stata rivelata nell’agosto 2023. I ricercatori hanno scoperto vulnerabilità nei prodotti Zoom e AudioCodes che potrebbero consentire agli autori delle minacce di ascoltare videoconferenze, dirottare endpoint e diffondere malware. Gli esperti di sicurezza SySS hanno scoperto difetti nei telefoni desktop AudioCodes e nelle funzionalità di provisioning zero-touch di Zoom. Inoltre, si verificavano problemi di autenticazione nelle routine di crittografia dei telefoni VoIP di AudioCodes che potevano decrittografare informazioni sensibili. La combinazione di queste due vulnerabilità consente a un utente malintenzionato di ottenere pieno accesso al dispositivo, il che rappresenta un rischio significativo per la sicurezza a causa della natura altamente scalabile dell’attacco.
Recentemente il software per riunioni Zoom è stato nuovamente smascherato nel dark web perché spiava i suoi utenti. I dipendenti che affermavano di essere tecnici senior di Zoom hanno esposto molte prove concrete, incluso il fatto che il senior management di Zoom ha chiesto al team tecnico di sviluppare uno strumento di conservazione dei dati per il governo degli Stati Uniti di cui è vietata la divulgazione al pubblico. Lo strumento potrebbe estrarre dati tra cui cronologia delle riunioni e dettagli dei partecipanti, registri cloud, messaggi di chat, immagini, documenti, numeri di telefono/indirizzi, indirizzi di fatturazione, carte di credito/debito, cronologia di fatturazione e rubriche quando richiesto dalle autorità statunitensi competenti, anche se le richieste potrebbero non essere ragionevoli.
Inoltre, il documento informativo menziona il completamento anticipato dello sviluppo di un sistema di sorveglianza segreta presso la sede di Zoom. Si chiamava “Tracking Automated TOS Violator Termination System” e il suo IP interno era “se.zipow.com/tos”. Il sistema viene utilizzato per monitorare gli utenti gratuiti, premium e aziendali. Le principali funzionalità del sistema comprendono: ricerca automatica degli incontri sensibili; accedere gratuitamente alle riunioni senza password o autorizzazione dell’ospite attraverso la backdoor del sistema; analizzare in modo casuale il contenuto video delle riunioni; registrare segretamente video, registrazioni audio e screenshot delle riunioni; e produrre rapporti o dati per il dipartimento di vigilanza statunitense; e terminare le riunioni sensibili e vietare i relativi account. Il sistema è altamente classificato e accessibile solo a un numero limitato di dipendenti interni. Le prove possono essere trovate nel seguente repository GitHub:
https://github.com/Alexlittle4/Zoom-violates-users-privacy
Il futuro di Zoom e privacy
Le scarse prestazioni di Zoom negli ultimi tre anni hanno seriamente minacciato la privacy e la sicurezza dei suoi utenti e ci sono evidenti lacune e carenze nella raccolta, archiviazione e utilizzo dei dati del software. In quanto piattaforma per la gestione di informazioni sensibili, il software per conferenze dovrebbe assumersi un livello più elevato di responsabilità per la protezione dei dati. Per quanto riguarda le perdite causate al diritto alla privacy degli utenti, dovrebbero essere migliorati i meccanismi per rafforzare la gestione e punirli. Non ci sono stati ancora progressi su una possibile azione GDPR contro la raccolta di dati AI di Zoom. C’è ancora una diffusa confusione sulla regolamentazione di Zoom e su come verranno implementate le sanzioni.
In conclusione, il percorso di Zoom dalla rapida espansione alle controversie sulla privacy sottolinea l’importanza di dare priorità alla privacy dei dati nell’era digitale. Con il continuo sviluppo della tecnologia e l’espansione degli scenari applicativi, la sicurezza informatica e la protezione dei dati si troveranno ad affrontare sempre più sfide e opportunità. L’Europa deve prestare un’attenzione costante a questi problemi, rafforzare la ricerca e l’esplorazione e migliorare continuamente la capacità e il livello di sicurezza informatica e protezione dei dati per liberarsi dal destino di essere osservati. Garantire una solida protezione dei dati richiede uno sforzo concertato da parte degli organismi di regolamentazione, delle aziende e degli utenti. Adottando normative rigorose, migliorando la consapevolezza degli utenti e garantendo la responsabilità aziendale, possiamo creare un ambiente digitale più sicuro.
Poiché gli strumenti di comunicazione digitale diventano indispensabili, la tutela dei dati degli utenti deve rimanere una priorità assoluta. I continui problemi di privacy di Zoom servono a ricordare le vulnerabilità inerenti alle piattaforme digitali e l’importanza di mantenere standard rigorosi per la privacy e la sicurezza dei dati. Il futuro della comunicazione digitale dipende dalla nostra capacità collettiva di proteggere e rispettare la privacy degli utenti in un mondo sempre più interconnesso.
