Кейсы 10 ноября 2020

Zoom обвинили во лжи пользователям. Их данные не шифровались должным образом

Далее

Zoom согласился модернизировать свои методы обеспечения безопасности в предварительном соглашении с Федеральной торговой комиссией (FTC). Ранее агентство публично обвинило компанию в многолетней лжи пользователям. Zoom заявлял, что предлагает своим клиентам сквозное шифрование, хотя на самом деле связь не была защищена должным образом. Казалось бы, вопрос решен и стороны пришли к соглашению. Но демократы в США категорически с ним не согласны. Рассказываем, почему ситуация обострилась, об основных претензиях к Zoom и отвечаем на главный вопрос — компенсируют ли пользователям возможный ущерб?

С чего все началось?

«По крайней мере в 2016 году Zoom вводила пользователей в заблуждение, заявляя, что предлагает „сквозное 256-битное шифрование“ для защиты коммуникаций. Хотя на деле оно обеспечивает более низкий уровень безопасности, чем обещала компания», — говорится в жалобе FTC против Zoom и в плане агентства по предварительному урегулированию. Несмотря на многообещающее сквозное шифрование, FTC заявила, что «Zoom сохраняла криптографические ключи, которые могли позволить компании получать доступ к содержимому конференций своих клиентов».

В жалобе FTC утверждается, что компания Zoom намеренно лгала, что предлагает сквозное шифрование в своих руководствах по соблюдению требований HIPAA за июнь 2016 года и июль 2017 года.

HIPAA или Health Insurance Portability and Accountability Act — Акт о мобильности и подотчётности медицинского страхования, который был принят 21 августа 1996 года. Акт был создан, чтобы модернизировать поток медицинской информации, предсказать, как личная информация, хранящаяся в медицинских учреждениях и медицинских страховых отраслях, должна быть защищена от мошенничества и краж.

Компания Zoom также заявляла, что предлагает сквозное шифрование в официальном документе от января 2019 года, в сообщении в блоге от апреля 2017 года и в прямых ответах на запросы клиентов, говорится в жалобе FTC.

«Фактически, Zoom не обеспечивал должное сквозное шифрование для любых встреч Zoom, потому что серверы компании (некоторые из них, кстати, находятся в Китае) поддерживают криптографические ключи, которые позволят разработчикам получать доступ к контенту Zoom Meetings своих клиентов», — говорится в жалобе FTC.

Также агентство утверждает, что Zoom «ввел в заблуждение некоторых пользователей, которые хотели хранить записанные встречи в облачном сервисе компании, ложно заявив, что все видеоконференции были зашифрованы сразу после их завершения. Вместо этого, некоторые записи якобы хранились в незашифрованном виде в течение 60 дней на серверах Zoom до их переноса в безопасное облачное хранилище».

Компромиссное решение Zoom

Чтобы уладить обвинения, Zoom согласился с требованием FTC создать и внедрить комплексную программу безопасности, запретить искажение информации о конфиденциальности и безопасности и внедрить ряд других подробных мер по защите своей пользовательской базы, которая с 10 млн в декабре 2019 года резко выросла до 300 млн в апреле 2020 года во время пандемии COVID-19.

Отмечается, что цифры 10 и 300 млн относятся к количеству ежедневных участников собраний Zoom.

Получат ли пользователи компенсацию?

План по регулированию ситуации с Zoom поддерживается республиканским большинством в FTC, но демократы в комиссии резко выступают против, и вот почему. Дело в том, что заявленное соглашение не предусматривает компенсации пользователям.

«Сегодня Федеральная торговая комиссия проголосовала за предложение урегулирования с Zoom, но есть проблема, — заявил комиссар FTC от демократов Рохит Чопра. — Урегулирование не оказывает никакой помощи затронутым обманом пользователям. Оно ничего не делает для малого бизнеса, который полагался на требования Zoom о защите данных. И не требует от компании ни копейки. Комиссия должна изменить курс».

«Zoom не обязана предлагать возмещение ущерба, возмещение или даже уведомлять своих клиентов о том, что компании предъявлялись претензии и-за безопасности и лжи в заявлении ее представителей, — подчеркивает комиссар Демократической партии Ребекка Келли Слотер. — Эта брешь в предлагаемом урегулировании оказывает медвежью услугу клиентам Zoom». Хотя соглашение налагает обязательства по обеспечению безопасности, Слотер заявила, что оно не включает требований, непосредственно защищающих конфиденциальность пользователей.

Новые претензии к Zoom

Zoom отдельно сталкивается с судебными исками со стороны инвесторов и потребителей, которые, в конечном итоге, могут привести к финансовым потерям со стороны компании.

Соглашение Zoom / FTC на самом деле не требует сквозного шифрования. Хотя, в прошлом прошлом месяце Zoom и объявил, что развертывает сквозное шифрование в технической предварительной версии. На деле, соглашение требует, чтобы компания приняла следующие меры:

  • Потребовать от пользователей защитить свои учетные записи надежными уникальными паролями;
  • Использовать автоматические инструменты для выявления попыток входа в систему без участия пользователя;
  • Ограничить скорость попыток входа в систему для минимизации риска атаки методом грубой силы;
  • Сбросить пароли для известных скомпрометированных учетных данных.

Zoom соглашается на мониторинг безопасности

Предлагаемое урегулирование подлежит общественному обсуждению в течение 30 дней, после чего FTC проголосует за то, чтобы сделать его окончательным. 30-дневный период обсуждения начнется после публикации урегулирования в Федеральном реестре. С делом FTC и соответствующими документами можно ознакомиться здесь.

В объявлении FTC говорится, что Zoom согласился предпринять следующие шаги:

  • Ежегодно оценивать и документировать любые потенциальные внутренние и внешние риски безопасности и разрабатывать способы защиты от них;
  • Внедрить программу управления уязвимостями; 
  • Обеспечить новые меры безопасности — такие, как многофакторная аутентификация — для защиты от несанкционированного доступа к своей сети;
  • Контролировать удаление данных с серверов;
  • Принять меры для предотвращения использования известных скомпрометированных учетных данных пользователя.

Часть требований, касающихся удаления данных, требует, чтобы все заявленные копии данных были удалены в течение 31 дня.

Zoom будет обязан уведомить FTC о любых нарушениях сохранности данных, и ему будет запрещено «искажать информацию о своих методах обеспечения конфиденциальности и безопасности. В том числе о том, как он собирает, использует, поддерживает или раскрывает личную информацию», — говорится в сообщении FTC.

Кроме того, компании придется проверить все обновления программного обеспечения на предмет уязвимости. Zoom также получит стороннюю оценку своей обновленной программы безопасности после урегулирования претензии. Проверки будут повторяться каждые два года. Это требование будет действовать в течении следующих 20 лет.

Вместо выводов — официальный ответ Zoom

«Безопасность наших пользователей — главный приоритет для Zoom. Мы серьезно относимся к тому доверию, которое пользователи оказывают нам каждый день. В конце-концов, они рассчитывают, что мы будем поддерживать их связь во время беспрецедентного глобального кризиса, и мы постоянно совершенствуем наши программы безопасности и конфиденциальности. Мы гордимся достижениями, которые мы сделали на нашей платформе, и мы уже решили проблемы, выявленные FTC. Сегодняшнее соглашение с FTC соответствует нашему стремлению к инновациям и совершенствованию нашей продукции».

Читать также

Ледник «Судного дня» оказался опаснее, чем думали ученые. Рассказываем главное

Исследование: у части людей есть антитела к коронавирусу, хотя они им не болели

Ученые обнаружили в Австралии двух новых млекопитающих