Contro Zoom e le falle di sicurezza della app per videoconferenze arriva la class action: l’azionista Michael Drieu ha depositato la causa in forma di azione collettiva presso il tribunale federale di San Francisco (U.S. District Court for the Northern District of California). Drieu accusa Zoom e il suo top management di aver tenuto nascosti i difetti di sicurezza della piattaforma e di aver mentito sugli standard per la privacy che venivano seguiti. È così stata celata la mancanza di cifratura end-to-end, la conseguente vulnerabilità della app agli hacker e la cessione non autorizzata dei dati personali di alcuni utenti a terze parti tra cui Facebook.
Drieu sostiene anche che le ripetute notizie sulle falle di sicurezza di Zoom ne abbiano danneggiato le prestazioni in Borsa (l’azienda si è quotata lo scorso aprile). Il titolo, in realtà, si è apprezzato del 67% quest’anno, perché gli investitori si aspettano una forte crescita del business per le app di videoconferenza in questo periodo di pandemia. Ma negli ultimi giorni il prezzo delle azioni di Zoom, dopo il rally di inizio anno, è cominciato a scendere e ieri ha chiuso a 113,75 dollari, un calo del 7,5%, riporta Reuters. Dal record toccato a fine marzo le azioni di Zoom hanno perso quasi un terzo del loro valore di mercato.
Scivolone sulla sicurezza
Qualche giorno fa l’azienda con sede in Silicon Valley ha ammesso di avere “per errore” fatto passare alcuni dati dei suoi utenti attraverso i suoi due server in Cina. Alcune riunioni tenute da suoi utenti non cinesi “potrebbero essere state autorizzate a connettersi ai server in Cina, dove non avrebbero dovuto connettersi”, ha spiegato Zoom. Ciò si è verificato fin da febbraio a causa del picco di traffico sulla piattaforma che ha portato milioni di utenti a usare la app per riunioni di lavoro ma anche incontri virtuali con gli amici per sopperire all’impossibilità di vedersi di persona. Zoom conta oggi 200 milioni di utenti attivi giornalieri (la maggior parte nella versione gratis della app) contro i 10 milioni di fine 2019.
L’ammissione dell’involontario routing di dati verso la Cina è arrivata dopo che una ricerca di Citizen Lab (laboratorio universitario canadese che si occupa delle minacce digitali alla società civile) ha svelato che in alcuni casi le chiavi di cifratura dei dati di Zoom erano probabilmente state spedite verso i server a Pechino.
Il ceo di Zoom Eric Yuan si è scusato con gli utenti ammettendo che l’azienda ha deluso le aspettative della sua community in fatto di sicurezza e privacy e ha assicurato che sta provvedendo a risolvere i problemi. La falla software che ha permesso l’erroneo indirizzamento dei dati degli utenti in Cina è già stata riparata e ora l’azienda californiana lavora per aggiungere la cifratura end-to-end, anche se occorreranno mesi, sottolinea Bloomberg.
Arrivano i primi aggiornamenti sulla sicurezza
Zoom ha anche già comunicato ai suoi iscritti i primi aggiornamenti per proteggere la privacy. Dal 4 aprile per accedere ai meeting è necessaria la password; chi è invitato alla conferenza con un link non deve fare niente perché la password è embedded, ma chi deve inserire manualmente un meeting Id dovrà anche digitare la parola d’ordine.
Inoltre, Zoom ha attivato la funzionalità “virtual waiting room”, attiva automaticamente e predefinita. Si tratta di una “sala d’attesa virtuale” dove le persone devono aspettare per unirsi alla conferenza finché l’host non è pronto.
L’azienda ha annunciato oggi di aver assunto l’ex security chief di Facebook, Alex Stamos, come consulente; il suo compito è di mettere insieme un gruppo di esperti che darà indicazioni a Zoom su come migliorare la privacy e la sicurezza della sua app, soprattutto in questa fase di crescita esponenziale.
Infine, Zoom ha ufficialmente dato vita a un Ciso Council composto da chief information security officer di alcune delle più grandi aziende globali, tra cui HSBC, NTT Data, Procore ed Ellie Mae, che darà supporto al management nelle scelte su privacy e sicurezza e suggerirà tecnologie e best practice. Alcuni di questi Ciso entreranno in un Advisory board che riporterà direttamente al ceo di Zoom. Del board fanno parte i top manager della sicurezza di VMware, Netflix, Uber e Electronic Arts.
Dal Zoomboming alle prime defezioni
Zoom corre così ai ripari dopo i ripetuti passi falsi sulla data security e la trasparenza. Tra i vari problemi emersi nelle scorse settimane ci sono la condivisione non autorizzata di dati, la possibilità di entrare in riunioni cui non si è invitati (il cosiddetto Zoombombing) e la comunicazione poco trasparente sulle misure di cifratura. Inoltre, secondo il Washington Post, le registrazioni di migliaia di video conferenze fatte sulla piattaforma sono state esposte online, registrate da un software di Zoom e poi salvate su altre applicazioni senza password e quindi scaricabili sul web da chiunque.
Zoom ha assicurato che l’indirizzamento erroneo di dati verso i server cinesi si è verificato “in circostanze estremamente limitate” e senza mai interessare gli utenti dei governi. L’azienda ha promesso un aggiornamento delle tecnologie e si è impegnata a dedicare tutti i suoi ingegneri e programmatori alla risoluzione dei problemi di privacy.
Ma intanto alcuni clienti corporate, preoccupati dalla mancanza di cifratura end-to-end, hanno smesso di usare Zoom. Tra questi c’è SpaceX di Elon Musk, che ha vietato ai suoi dipendenti di usare Zoom parlando di “seri problemi di privacy e sicurezza”. Il governo di Taiwan, a sua volta, ha chiesto a tutte le sue agenzie di non usare più la app per fare videoconferenze; anche il governo tedesco ha imposto severe restrizioni.