A Comissão de Comércio dos Estados Unidos (FTC) está exigindo que o aplicativo de vídeochamada Zoom implemente um programa de privacidade e segurança mais robusto. De acordo com a comissão, o Zoom não cumpre com a criptografia de ponta-a-ponta que promete desde 2016. A empresa garantiu que vai “implementar um programa de segurança mais abrangente”.
- Operação 404 contra pirataria da polícia civil contou com participação norte-americana
- STJ é vítima de ransomware e tem seus dados e os backups criptografados
- Fabricante de notebooks Compal sofre ataque de ransomware, mas diretor nega
Em documento publicado nessa segunda-feira (09), a comissão informa que o Zoom “enganou seus usuários, oferecendo criptografia de ponta-a-ponta de 256 bits”, quando na realidade oferece um nível inferior, além de armazenar as chaves de acesso à essas criptografias, o que permite que a empresa acesse o conteúdo das reuniões e vídeochamadas feitas por seus usuários, principalmente as armazenadas nos serviços de nuvem da empresa.
O Zoom oferece para clientes pagantes, uma opção de armazenar as gravações criptografadas de reuniões e vídeochamadas na própria nuvem da ferramenta. No entanto, segundo a comissão, algumas gravações são armazenadas sem criptografia até serem transferidas para um servidor que finalmente possui criptografia, mas esse processo pode demorar até 60 dias. Isso não cumpre com o anúncio de segurança e privacidade da empresa, além de significar que funcionários podem acessar essas reuniões durante esse período.
A empresa está sob vigilância da comissão (sujeita a duas avaliações por ano) por um tempo determinado e deve “avaliar e documentar potenciais riscos de segurança anualmente; implementar um programa de gerenciamento de vulnerabilidade; implementar proteções como autenticação multifator para proteger contra acesso não autorizado à sua rede; instituir controles de exclusão de dados; e tomar medidas para evitar o uso de credenciais de usuário comprometidas conhecidas”.
Além disso, deve revisar todas as atualizações de software em busca de falhas de segurança, para garantir que não sejam prejudiciais a seus usuários. Também está proibido de fazer anúncios falsos sobre suas práticas de segurança e uso de dados (como coleta, usa, mantém, divulga e armazena informações pessoais).
Empresa já havia sido acusada pelo FTC por violar a lei norte-americana contra práticas comerciais injustas e enganosas
A comissão lembra o caso do aplicativo ZoomOpener para macOS, que foi “secretamente instalado” nos Macs de seus usuários em julho de 2018. Segundo o FTC, o ZoomOpener “permite a inicialização automática [e sem autorização dos usuários] do Zoom, contornando os protocolos de segurança do navegador Safari”.
Sem o ZoomOpener, o Safari pede autorização para iniciar a ferramenta, mas o app contorna esse processo e permite que o Zoom seja inicializado de forma secreta “aumentando o risco dos usuários de vigilância remota por vídeo por estranhos" além de permanecer na máquina mesmo depois de desinstalado pelo usuário. A empresa informa que removeu o ZoomOpener com uma atualização em julho de 2019.