Zoom sta provvedendo agli aggiornamenti di sicurezza per la sua app per le videoconferenze, dopo una serie di cyber-incidenti che hanno portato alla luce le falle nella gestione della piattaforma. In particolare, Zoom ha iniziato il rilascio dell’aggiornamento del sistema che permette di introdurre la cifratura end-to-end, una funzionalità cruciale che ha spinto molti governi (come Singapore), enti pubblici (come la Nasa) e aziende (tra cui Google, Apple e SpaceX) a vietare l’utilizzo di Zoom nei loro uffici.
Le carenze nella cybersecurity non hanno tuttavia reso Zoom meno popolare: dai 200 milioni di utenti globali giornalieri di marzo 2020 oggi la società afferma di essere arrivata a 300 milioni. A fine dicembre 2019 Zoom aveva solo 10 milioni di utenti giornalieri.
Arriva l’aggiornamento per l’encryption
Zoom ha iniziato il lancio dell’aggiornamento 5.0 che permette di introdurre la cifratura. È la prima misura varata dall’azienda per rafforzare la cybersecurity all’interno di un piano varato a inizio aprile e che si snoda in 90 giorni e in una serie di misure per proteggere la privacy delle conversazioni sulla sua app e dei dati dei suoi utenti.
Con questo aggiornamento i servizi Meeting, Video Webinar e Phone di Zoom saranno compliant con lo standard di cifratura AES 256-bit GCM. Il roll-out sarà completato per tutti gli utenti per la fine di maggio, ha fatto sapere la società.
L’aggiornamento 5.0 include anche una serie di funzionalità nuove per la sicurezza: per esempio, gli utenti possono scegliere in quale regione geografica deve essere situato il datacenter che conserva i loro dati e possono usufruire di controlli di sicurezza aggiuntivi durante le conferenze, come la possibilità di denunciare l’ingresso nei meeting di persone non invitate (il cosiddetto ‘zoombombing’).
Tutti i cyber-guai di Zoom
A inizio aprile Zoom ha ammesso di avere “per errore” fatto passare alcuni dati dei suoi utenti attraverso i suoi due server in Cina, ai quali non avrebbero dovuto connettersi. Ciò si è verificato fin da febbraio a causa del picco di traffico sulla piattaforma che ha portato milioni di utenti a usare la app per riunioni di lavoro ma anche incontri virtuali con gli amici per sopperire all’impossibilità di vedersi di persona visto il distanziamento sociale imposto dal coronavirus. Zoom ha affermato di aver sanato la falla software che ha permesso l’erroneo indirizzamento dei dati degli utenti e ha sottolineato che l’errore si è verificato “in circostanze estremamente limitate” e senza mai interessare gli utenti dei governi.
Non si è trattato del primo passo fasso di Zoom su privacy e sicurezza. Tra gli altri problemi emersi: condivisione non autorizzata di dati, funzionalità che permettavano agli utenti di importunarne altri (“zoombombing”), dichiarazioni poco chiare sulle misure di cifratura. Secondo il Washington Post le registrazioni di migliaia di video conferenze fatte sulla piattaforma sono state esposte online, registrate da un software di Zoom e poi salvate su altre applicazioni senza password e quindi scaricabili sul web da chiunque.
È poi arrivato il cyber-incidente a Singapore, dove l’applicazione è stata vietata a seguito di un attacco informatico attraverso il quale gli hacker sono riusciti a infiltrare filmati porno all’interno delle videochiamate.
Infine, un gruppo di hacker è riuscito a sottrarre 500mila account di Zoom: secondo la società di sicurezza informatica Cyble i criminali informatici sono riusciti ad accedere alle password, ai collegamenti Url e alle chiavi host di mezzo milione di utenti per poi venderli sui forum del dark web al prezzo di 0,002 centesimi di dollari ciascuno. Alcune credenziali sono state regalate per consentire le “zoombombing”, vere e proprie “invasioni” che si verificano durante le videoconferenze.
Zoom è fin da subito corsa ai ripari, non solo varando un piano per gli aggiornamenti di sicurezza ma assumendo un maxi-esperto come consulente per riabilitare la propria immagine: si tratta di Alex Stamos, ex capo della sicurezza di Facebook e oggi docente presso la Stanford University. “In un tempo di crisi globale, Zoom è diventato un collegamento importante tra lavoratori, famiglie, amici e, più importante, tra insegnati e studenti – ha afferma Stamos in un post sulla piattaforma Medium – Zoom ha del lavoro importante da svolgere sulla sicurezza dell’applicazione, dell’infrastruttura e la progettazione crittografica”.
