Il Senato americano ha indicato ai suoi membri di non usare Zoom per le videoconferenze a causa dei problemi di sicurezza dei dati recentemente emersi. Secondo quanto riporta il Financial Times, ai senatori americani è stato chiesto di trovare piattaforme alternative da usare per lo smart working. Non è un vero divieto all’utilizzo del servizio di Zoom, ma – dicono le fonti del FT – poco è mancato alla messa al bando ufficiale.
Tanti politici, funzionari degli uffici governativi, manager e dipendenti d’azienda, scuole e università in tutto il mondo stanno usando Zoom per connettersi durante il lavoro e lo studio in questo periodo di lockdown dovuto al coronavirus. Zoom aveva 10 milioni di utenti a fine 2019; adesso ne ha 200 milioni.
Scivolone sulla protezione dei dati
Nelle scorse settimane, tuttavia, per Zoom sono venute a galla diverse problematiche di privacy e sicurezza. L’azienda con sede in Silicon Valley ha ammesso di avere “per errore” fatto passare alcuni dati dei suoi utenti attraverso i suoi due server in Cina. Ciò si è verificato fin da febbraio a causa del picco di traffico sulla piattaforma. L’ammissione dell’involontario routing di dati verso la Cina è arrivata dopo che una ricerca di Citizen Lab (laboratorio universitario canadese che si occupa delle minacce digitali alla società civile) ha svelato che in alcuni casi le chiavi di cifratura dei dati di Zoom erano probabilmente state spedite verso i server a Pechino.
Tra gli altri problemi portati alla luce ci sono la condivisione non autorizzata di dati con terze parti, la possibilità di entrare in riunioni cui non si è invitati (il cosiddetto Zoombombing) e la comunicazione poco trasparente sulle misure di cifratura. Inoltre, secondo il Washington Post, le registrazioni di migliaia di video conferenze fatte sulla piattaforma sono state esposte online.
Zoom si scusa e corre ai ripari
Il ceo di Zoom Eric Yuan si è scusato con gli utenti ammettendo che l’azienda ha deluso le aspettative della sua community in fatto di sicurezza e privacy e ha assicurato che sta provvedendo a risolvere i problemi. La falla software che ha permesso l’erroneo indirizzamento dei dati degli utenti in Cina è già stata riparata e ora l’azienda californiana lavora per aggiungere la cifratura end-to-end, anche se occorreranno mesi, sottolinea Bloomberg.
Intanto però dal 4 aprile per accedere ai meeting è necessaria la password ed è stata attivata la funzionalità di default “virtual waiting room”, una “sala d’attesa virtuale” dove le persone devono aspettare per unirsi alla conferenza finché l’host non è pronto.
L’azienda ha anche assunto l’ex security chief di Facebook, Alex Stamos, come consulente; il suo compito è di mettere insieme un gruppo di esperti che darà indicazioni a Zoom su come migliorare la privacy e la sicurezza della sua app, soprattutto in questa fase di crescita esponenziale.
Google vieta Zoom ai dipendenti
Intanto alcuni clienti corporate, preoccupati dalla mancanza di cifratura end-to-end, hanno smesso di usare Zoom, in tutto o in parte. Google ieri ha vietato l’app di videoconferencing sui computer portatili dei dipendenti per motivi di sicurezza, pur consentendone ancora l’utilizzo come app mobile o via browser. Nei giorni precedenti SpaceX di Elon Musk ha vietato ai suoi dipendenti di usare Zoom parlando di “seri problemi di privacy e sicurezza”. Il governo di Taiwan, a sua volta, ha chiesto a tutte le sue agenzie di non usare più la app per fare videoconferenze, mentre il governo tedesco ha imposto severe restrizioni.
C’è già la class action
Le falle di sicurezza della app per videoconferenze hanno già scatenato negli Stati Uniti la class action: l’azionista Michael Drieu ha depositato la causa in forma di azione collettiva presso il tribunale federale di San Francisco (U.S. District Court for the Northern District of California). Drieu accusa Zoom e il suo top management di aver tenuto nascosti i difetti di sicurezza della piattaforma e di aver mentito sugli standard per la privacy che venivano seguiti. È così stata celata la mancanza di cifratura end-to-end, la conseguente vulnerabilità della app agli hacker e la cessione non autorizzata dei dati personali di alcuni utenti a terze parti, tra cui Facebook.
