FTC necesită Zoom pentru a-și îmbunătăți practicile de securitate ca parte a decontării

notă: FTC a găzduit o conferință telefonică pentru mass-media. Participanții au inclus directorul Biroului FTC pentru Protecția Consumatorilor Andrew Smith și Maneesha Mithal, director asociat al Diviziei FTC pentru protecția vieții private și a identității.Comisia Federală pentru Comerț a anunțat astăzi o înțelegere cu Zoom Video Communications, Inc. acest lucru va impune companiei să implementeze un program robust de securitate a informațiilor pentru a soluționa acuzațiile conform cărora furnizorul de conferințe video s-a angajat într-o serie de practici înșelătoare și neloiale care au subminat securitatea utilizatorilor săi.

Zoom A fost de acord cu cerința de a stabili și implementa un program cuprinzător de securitate, o interdicție privind denaturarea confidențialității și a securității și alte scutiri detaliate și specifice pentru a-și proteja baza de utilizatori, care a crescut de la 10 milioane în decembrie 2019 la 300 de milioane în aprilie 2020 în timpul pandemiei COVID-19.în plângerea sa, FTC a susținut că, cel puțin din 2016, Zoom a indus în eroare utilizatorii, susținând că oferă „criptare end-to-end, pe 256 de biți” pentru a asigura comunicațiile utilizatorilor, când, de fapt, a oferit un nivel mai scăzut de securitate. Criptarea End-to—end este o metodă de securizare a comunicațiilor, astfel încât numai expeditorul și destinatarul—și nici o altă persoană, nici măcar furnizorul platformei-să poată citi conținutul.în realitate, susține FTC, Zoom a menținut cheile criptografice care ar putea permite Zoom să acceseze conținutul întâlnirilor clienților săi și și-a asigurat întâlnirile Zoom, parțial, cu un nivel de criptare mai scăzut decât a promis.afirmațiile înșelătoare ale Zoom au oferit utilizatorilor un fals sentiment de securitate, potrivit plângerii FTC, în special pentru cei care au folosit platforma companiei pentru a discuta subiecte sensibile, cum ar fi sănătatea și informațiile financiare. În numeroase postări pe blog, Zoom și-a prezentat în mod special nivelul de criptare ca motiv pentru clienții și potențialii clienți să utilizeze serviciile de videoconferință Zoom.

„în timpul pandemiei, practic toată lumea—familii, școli, grupuri sociale, întreprinderi—folosește videoconferințele pentru a comunica, făcând securitatea acestor platforme mai critică ca niciodată”, a declarat Andrew Smith, directorul Biroului pentru Protecția Consumatorilor al FTC. „Practicile de securitate ale Zoom nu s-au aliniat promisiunilor sale, iar această acțiune va ajuta la asigurarea faptului că întâlnirile Zoom și datele despre utilizatorii Zoom sunt protejate.”potrivit plângerii FTC, Zoom a indus în eroare și unii utilizatori care doreau să stocheze întâlniri înregistrate în stocarea cloud a companiei, susținând în mod fals că aceste întâlniri au fost criptate imediat după încheierea întâlnirii. În schimb, unele înregistrări ar fi fost stocate necriptate timp de până la 60 de zile pe serverele Zoom înainte de a fi transferate în spațiul de stocare securizat în cloud.FTC a susținut, de asemenea, că compania a compromis securitatea unor utilizatori atunci când a instalat în secret software, numit server web ZoomOpener, ca parte a unei actualizări manuale pentru aplicația desktop Mac din iulie 2018. Serverul Web ZoomOpener a permis Zoom să lanseze și să se alăture automat unui utilizator la o întâlnire, ocolind o garanție a browserului Apple Safari care îi proteja pe utilizatori de un tip comun de malware. Fără serverul Web ZoomOpener, browserul Safari ar fi oferit utilizatorilor o casetă de avertizare, înainte de lansarea aplicației Zoom, care îi întreba pe utilizatori dacă doresc să lanseze aplicația.plângerea susține că Zoom nu a implementat nicio măsură de compensare pentru a proteja securitatea utilizatorilor și a crescut riscul utilizatorilor de supraveghere video de la distanță de către străini. Software—ul a rămas pe computerele utilizatorilor chiar și după ce au șters aplicația Zoom și ar reinstala automat aplicația Zoom—fără nicio acțiune a utilizatorului-în anumite circumstanțe. Plângerea susține că desfășurarea Zoomopener de către Zoom, fără o notificare adecvată sau consimțământul utilizatorului, a fost nedreaptă și a încălcat legea FTC. Apple a eliminat serverul Web ZoomOpener de pe computerele utilizatorilor printr-o actualizare automată în iulie 2019.plângerea susține, de asemenea, că notele de lansare ale Zoom pentru actualizarea din iulie 2018 au fost înșelătoare, deoarece nu au dezvăluit în mod adecvat că actualizarea aplicației ar instala serverul Web ZoomOpener pe computerele utilizatorilor, că ar eluda o garanție a browserului Safari sau că ar rămâne pe computerele utilizatorilor chiar și după ce utilizatorii au șters aplicația Zoom.

ca parte a programului cuprinzător de securitate a informațiilor propus, Zoom trebuie să ia măsuri specifice menite să abordeze problemele identificate în plângere. De exemplu, trebuie:

  • să evalueze și să documenteze anual orice riscuri potențiale de securitate internă și externă și să dezvolte modalități de protecție împotriva acestor riscuri;
  • să implementeze un program de gestionare a vulnerabilităților; și
  • să implementeze măsuri de protecție, cum ar fi autentificarea cu mai mulți factori, pentru a proteja împotriva accesului neautorizat la rețeaua sa; să instituie controale de ștergere a datelor; și să ia măsuri pentru a preveni utilizarea acreditărilor de utilizator compromise cunoscute.

în plus, personalul Zoom va trebui să revizuiască orice actualizări de software pentru defecte de securitate și trebuie să se asigure că actualizările nu vor împiedica caracteristicile de securitate ale terților.

conform acordului propus, Zoom este, de asemenea, interzis să facă declarații false cu privire la practicile sale de confidențialitate și securitate, inclusiv cu privire la modul în care colectează, utilizează, menține sau dezvăluie informații personale; caracteristicile sale de securitate; și măsura în care utilizatorii pot controla confidențialitatea sau securitatea informațiilor lor personale.în cele din urmă, compania trebuie să obțină evaluări bienale ale programului său de securitate de către o terță parte independentă, pe care FTC are autoritatea să o aprobe și să notifice Comisia dacă se confruntă cu o încălcare a datelor.

Comisia a votat 3-2 pentru a emite plângerea administrativă propusă și pentru a accepta acordul de consimțământ cu compania. Comisarii Rohit Chopra și Rebecca Kelly Slaughter au emis declarații disidente, în timp ce președintele Joe Simons, precum și comisarii Noah Joshua Phillips și Christine S. Wilson au emis o declarație majoritară.

FTC va publica în curând o descriere a pachetului Acordului de consimțământ în Registrul Federal. Acordul va fi supus comentariilor publice timp de 30 de zile de la publicarea în Registrul Federal, după care Comisia va decide dacă să definitiveze ordinul de consimțământ propus. Instrucțiunile pentru depunerea comentariilor vor apărea în anunțul publicat. Odată procesate, comentariile vor fi postate pe Regulations.gov.

notă: Comisia emite o plângere administrativă atunci când are „motive să creadă” că legea a fost sau este încălcată și Comisia pare că o procedură este în interesul public. Atunci când Comisia emite un ordin de aprobare pe o bază finală, aceasta poartă forța legii cu privire la acțiunile viitoare. Fiecare încălcare a unui astfel de ordin poate duce la o pedeapsă civilă de până la 43.280 USD.

Lasă un răspuns

Adresa ta de email nu va fi publicată.