Nuova bufera su Zoom, l’app di videochiamate che forse più delle altre ha tratto vantaggio dal boom dello smartworking e dell’e-learning a causa della diffusione del coronavirus. Anche questa volta è stato scoperto un grosso problema di privacy, l’ennesimo, su questa piattaforma.
Se usate Zoom, e registrate le videoconferenze, i file di tali registrazioni possono essere facilmente trovati e visualizzati. Secondo quanto riporta il Washington Post, tra l’altro, alcuni file sarebbero stati già scovati e, tra di essi, ci sarebbe un po’ di tutto: dalle lezioni nella classe virtuale con alunni minorenni a colloqui di lavoro, passando persino da incontri tra psicologi e pazienti. Il tutto è parcheggiato su dei server facilmente raggiungibili, e i file non sono criptati. Peggio di così era difficile anche solo pensarlo visti anche i problemi di privacy già emersi negli scorsi giorni.
Zoom: la privacy dei meeting registrati
Vediamo, tecnicamente, dove sta il problema. Quando un admin di una videoconferenza decide di registrare il meeting, deve anche scegliere dove salvare il file delle riprese. È possibile salvare i file sul proprio computer, oppure sul cloud. In entrambi i casi il file avrà un nome facilmente riconoscibile (Zoom chiama i file tutti allo stesso modo, senza usare lettere o numeri random) e il file sarà “in chiaro“. Ciò vuol dire che, se l’admin sceglie di salvare i suoi file sui server in cloud, tali file potranno essere facilmente trovati da chiunque: basta un motore di ricerca che indicizza anche i file sui server in cloud per trovarli. E basta farci doppio click sopra per aprirli e guardarli.
Zoom e privacy: la risposta dello sviluppatore
Zoom a dicembre 2019 contava 10 milioni di utenti, oggi ne conta oltre 200 milioni. È chiaro, quindi, che non è più un fenomeno marginale e che non può gestire in modo così “leggero” la privacy dei suoi utenti. Lo sviluppatore ha risposto alle critiche affermando che spetta all’admin del meeting scegliere dove salvare i file delle registrazioni. Indirettamente questo è un consiglio a salvarle sul proprio hard disk e non in cloud.
Relativamente alle altre critiche ricevute nei giorni scorsi, come quella sulla crittografia molto debole applicata alla trasmissione dei dati, in una nota sul suo blog ufficiale Zoom ha precisato: “Stiamo lavorando con esperti esterni e chiederemo anche feedback dalla nostra comunità, per garantire che la crittografia sia ottimizzata per la nostra piattaforma“. Riguardo allo “zoombombing“, invece, il CEO di Zoom Eric Yuan ha ammesso alla CNN di aver fatto qualche passo falso e che nel giro di una o due settimane verranno introdotti una password e altri accorgimenti per proteggere i meeting pubblici dall’intrusione dei disturbatori.
Se usate Zoom, e registrate le videoconferenze, i file di tali registrazioni possono essere facilmente trovati e visualizzati. Secondo quanto riporta il Washington Post, tra l’altro, alcuni file sarebbero stati già scovati e, tra di essi, ci sarebbe un po’ di tutto: dalle lezioni nella classe virtuale con alunni minorenni a colloqui di lavoro, passando persino da incontri tra psicologi e pazienti. Il tutto è parcheggiato su dei server facilmente raggiungibili, e i file non sono criptati. Peggio di così era difficile anche solo pensarlo visti anche i problemi di privacy già emersi negli scorsi giorni.
Zoom: la privacy dei meeting registrati
Vediamo, tecnicamente, dove sta il problema. Quando un admin di una videoconferenza decide di registrare il meeting, deve anche scegliere dove salvare il file delle riprese. È possibile salvare i file sul proprio computer, oppure sul cloud. In entrambi i casi il file avrà un nome facilmente riconoscibile (Zoom chiama i file tutti allo stesso modo, senza usare lettere o numeri random) e il file sarà “in chiaro“. Ciò vuol dire che, se l’admin sceglie di salvare i suoi file sui server in cloud, tali file potranno essere facilmente trovati da chiunque: basta un motore di ricerca che indicizza anche i file sui server in cloud per trovarli. E basta farci doppio click sopra per aprirli e guardarli.
Zoom e privacy: la risposta dello sviluppatore
Zoom a dicembre 2019 contava 10 milioni di utenti, oggi ne conta oltre 200 milioni. È chiaro, quindi, che non è più un fenomeno marginale e che non può gestire in modo così “leggero” la privacy dei suoi utenti. Lo sviluppatore ha risposto alle critiche affermando che spetta all’admin del meeting scegliere dove salvare i file delle registrazioni. Indirettamente questo è un consiglio a salvarle sul proprio hard disk e non in cloud.
Relativamente alle altre critiche ricevute nei giorni scorsi, come quella sulla crittografia molto debole applicata alla trasmissione dei dati, in una nota sul suo blog ufficiale Zoom ha precisato: “Stiamo lavorando con esperti esterni e chiederemo anche feedback dalla nostra comunità, per garantire che la crittografia sia ottimizzata per la nostra piattaforma“. Riguardo allo “zoombombing“, invece, il CEO di Zoom Eric Yuan ha ammesso alla CNN di aver fatto qualche passo falso e che nel giro di una o due settimane verranno introdotti una password e altri accorgimenti per proteggere i meeting pubblici dall’intrusione dei disturbatori.