FTC vereist Zoom om haar beveiligingspraktijken te verbeteren als onderdeel van Settlement

opmerking: de FTC organiseerde een conference call voor media. Onder de deelnemers bevonden zich Andrew Smith, directeur van het Bureau of Consumer Protection van de FTC, en Maneesha Mithal, Adjunct-directeur van de afdeling Privacy-en identiteitsbescherming van de FTC.de Federal Trade Commission kondigde vandaag een schikking aan met Zoom Video Communications, Inc. dat zal vereisen dat het bedrijf een robuust informatiebeveiligingsprogramma implementeren om beschuldigingen te beslechten dat de videovergaderaanbieder betrokken was bij een reeks misleidende en oneerlijke praktijken die de veiligheid van zijn gebruikers ondermijnden.

Zoom heeft ingestemd met de eis om een uitgebreid beveiligingsprogramma op te zetten en uit te voeren, een verbod op verkeerde voorstellingen van privacy en beveiliging en andere gedetailleerde en specifieke maatregelen ter bescherming van zijn gebruikersbasis, die tijdens de covid-19-pandemie is omhooggeschoten van 10 miljoen in December 2019 tot 300 miljoen in April 2020.

in haar klacht voerde de FTC aan dat Zoom ten minste sinds 2016 gebruikers heeft misleid door te toveren dat Zoom “end-to-end 256-bit-versleuteling” aanbood om de communicatie van gebruikers te beveiligen, terwijl Zoom in feite een lager beveiligingsniveau bood. End-to-end encryptie is een methode om communicatie te beveiligen, zodat alleen de afzender en ontvanger(s)—en geen andere persoon, zelfs niet de platformprovider—de inhoud kan lezen.

in werkelijkheid handhaafde Zoom de cryptografische sleutels waarmee Zoom toegang kon krijgen tot de inhoud van de vergaderingen van zijn klanten, en beveiligde de Zoomvergaderingen, gedeeltelijk, met een lager niveau van versleuteling dan beloofd.de misleidende beweringen van

Zoom gaven gebruikers een vals gevoel van veiligheid, volgens de klacht van de FTC, met name voor degenen die het platform van de onderneming gebruikten om gevoelige onderwerpen zoals gezondheid en financiële informatie te bespreken. In tal van blogberichten, Zoom specifiek aangeprezen het niveau van encryptie als een reden voor klanten en potentiële klanten om gebruik te maken van Zoom videoconferencing diensten.”tijdens de pandemie gebruikt vrijwel iedereen—gezinnen, scholen, sociale groepen, bedrijven—videoconferenties om te communiceren, waardoor de veiligheid van deze platforms belangrijker is dan ooit,” zei Andrew Smith, directeur van het Bureau of Consumer Protection van de FTC. “Zoom’ s beveiligingspraktijken kwamen niet overeen met zijn beloften, en deze actie zal helpen om ervoor te zorgen dat zoomvergaderingen en gegevens over Zoomgebruikers worden beschermd.”

volgens de klacht van de FTC misleidde Zoom ook enkele gebruikers die opgenomen vergaderingen op de cloudopslag van het bedrijf wilden opslaan door ten onrechte te beweren dat die vergaderingen onmiddellijk na het einde van de vergadering waren versleuteld. In plaats daarvan werden sommige opnames naar verluidt ongecodeerd opgeslagen voor maximaal 60 dagen op de servers van Zoom voordat ze werden overgebracht naar de beveiligde cloudopslag.

de FTC beweerde ook dat het bedrijf de veiligheid van sommige gebruikers in gevaar bracht toen het in het geheim software installeerde, een zoomopener webserver genaamd, als onderdeel van een handmatige update voor zijn Mac-desktoptoepassing in juli 2018. De zoomopener webserver stond Zoom toe om automatisch te starten en lid te worden van een gebruiker om een vergadering door het omzeilen van een Apple Safari browser safeguard die gebruikers beschermd tegen een gemeenschappelijk type malware. Zonder de zoomopener webserver zou de Safari-browser gebruikers een waarschuwingsvenster hebben gegeven voordat de Zoom-app werd gelanceerd, waarin gebruikers werd gevraagd of ze de app wilden starten.

in de klacht wordt beweerd dat Zoom geen compenserende maatregelen heeft genomen om de veiligheid van gebruikers te beschermen en het risico van externe videobewaking door onbekenden heeft vergroot. De software bleef op de computers van gebruikers, zelfs nadat ze de Zoom app verwijderd, en zou automatisch opnieuw installeren van de Zoom app-zonder enige gebruiker actie-in bepaalde omstandigheden. De klacht beweert dat de inzet van Zoom van de ZoomOpener, zonder adequate kennisgeving of toestemming van de gebruiker, oneerlijk was en in strijd was met de FTC-wet. Apple verwijderde de zoomopener webserver van de computers van gebruikers via een automatische update in Juli 2019.

De klacht beweert ook dat de release notes van Zoom voor de update van juli 2018 misleidend waren omdat ze niet voldoende openbaar maakten dat de app-update de zoomopener-webserver op de computers van gebruikers zou installeren, dat het een safari-browserbeveiliging zou omzeilen, of dat het op de computers van gebruikers zou blijven, zelfs nadat gebruikers de Zoom-app hadden verwijderd.

als onderdeel van het voorgestelde uitgebreide informatiebeveiligingsprogramma moet Zoom specifieke maatregelen nemen om de in de klacht gesignaleerde problemen aan te pakken. Bijvoorbeeld, het moet:

  • beoordeelt en documenteert op jaarbasis potentiële interne en externe veiligheidsrisico ’s en ontwikkelt manieren om tegen dergelijke risico’ s te beschermen;
  • implementeert een programma voor kwetsbaarheidsbeheer; en
  • implementeert beveiligingen zoals multi-factor authenticatie om te beschermen tegen ongeoorloofde toegang tot het netwerk; installeert controles voor het verwijderen van gegevens; en neemt stappen om het gebruik van bekende gecompromitteerde gebruikersreferenties te voorkomen.

bovendien moet Zoom-personeel software-updates controleren op beveiligingsfouten en moet ervoor zorgen dat de updates de beveiligingsfuncties van derden niet belemmeren.

in het kader van de voorgestelde schikking is het Zoom ook verboden verkeerde voorstellingen te maken over zijn privacy-en beveiligingspraktijken, waaronder over hoe het persoonsgegevens verzamelt, gebruikt, onderhoudt of openbaar maakt, zijn beveiligingsfuncties en de mate waarin gebruikers de privacy of veiligheid van hun persoonsgegevens kunnen controleren.

ten slotte moet de onderneming tweejaarlijkse beoordelingen van haar beveiligingsprogramma verkrijgen door een onafhankelijke derde, die de FTC bevoegd is goed te keuren, en de Commissie daarvan in kennis stellen als er sprake is van een datalek.

De commissie stemde met 3-2 om de voorgestelde administratieve klacht in te dienen en de toestemmingsovereenkomst met de onderneming te aanvaarden. De commissarissen Rohit Chopra en Rebecca Kelly Slaughter gaven afwijkende verklaringen af, terwijl voorzitter Joe Simons en de commissarissen Noah Joshua Phillips en Christine S. Wilson een meerderheidsverklaring aflegden.

de FTC zal binnenkort een beschrijving van het pakket toestemmingsovereenkomsten in het federale Register publiceren. De Overeenkomst zal gedurende 30 dagen na publicatie in het federale Register openbaar worden gemaakt, waarna de Commissie zal beslissen of de voorgestelde toestemming definitief wordt. Instructies voor het indienen van opmerkingen zal worden weergegeven in de gepubliceerde kennisgeving. Eenmaal verwerkt, zullen reacties worden geplaatst op Regulations.gov.

opmerking: De Commissie dient een administratieve klacht in wanneer zij “redenen heeft om aan te nemen” dat de wet is of wordt overtreden, en de Commissie meent dat een procedure in het algemeen belang is. Wanneer de Commissie uiteindelijk een toestemmingsbevel uitvaardigt, heeft zij de kracht van wet met betrekking tot toekomstige acties. Elke overtreding van een dergelijke bestelling kan resulteren in een burgerlijke boete van maximaal $43.280.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.