Nuove ombre sulla sicurezza di Zoom, la app per videoconferenze il cui utilizzo si è impennato in questo periodo di smart working e isolamento sociale dovuto all’epidemia di coronavirus. L’azienda con sede in Silicon Valley ha ammesso di avere “per errore” fatto passare alcuni dati dei suoi utenti attraverso i suoi due server in Cina. Alcune riunioni tenute da suoi utenti non cinesi “potrebbero essere state autorizzate a connettersi ai server in Cina, dove non avrebbero dovuto connettersi”, ha spiegato Zoom. Ciò si è verificato fin da febbraio a causa del picco di traffico sulla piattaforma che ha portato milioni di utenti a usare la app per riunioni di lavoro ma anche incontri virtuali con gli amici per sopperire all’impossibilità di vedersi di persona.
Zoom, quotata in Borsa dallo scorso aprile, ha oggi 200 milioni di utenti attivi giornalieri, contro i 10 milioni di fine 2019.
Impatto “estremamente limitato”
Zoom ha affermato di aver sanato la falla software che ha permesso l’erroneo indirizzamento dei dati degli utenti e ha sottolineato che l’errore si è verificato “in circostanze estremamente limitate” e senza mai interessare gli utenti dei governi.
Zoom ha una presenza significativa in Cina, incluso un laboratorio di ricerca e sviluppo che impiega oltre 700 persone. Finora l’azienda californiana ha cercato di placare le critiche che arrivano dai paesi occidenti, preoccupati che questa forte presenza in Cina possa aprire le porte a violazioni della privacy. Secondo alcuni analisti, le riunioni sarebbero esposte al rischio di spionaggio da parte di Pechino.
“I dati originati negli Usa restano negli Usa e i dati delle riunioni transfrontaliere vanno dove c’è la sede dell’azienda che ospita il meeting“, ha assicurato un portavoce di Zoom al Financial Times.
Dubbi sulle policy di sicurezza
L’ammissione dell’involontario routing di dati verso la Cina è arrivata dopo che una ricerca di Citizen Lab (laboratorio universitario canadese che si occupa delle minacce digitali alla società civile) ha svelato che in alcuni casi le chiavi di cifratura dei dati di Zoom erano probabilmente state spedite verso i server a Pechino.
Non si tratta del primo passo fasso di Zoom sulla data security e la trasparenza. Nei giorni scorsi sono emersi altri problemi: condivisione non autorizzata di dati, funzionalità che permettavano agli utenti di importunarne altri, dichiarazioni poco chiare sulle misure di cifratura. Secondo il Washington Post le registrazioni di migliaia di video conferenze fatte sulla piattaforma sono state esposte online, registrate da un software di Zoom e poi salvate su altre applicazioni senza password e quindi scaricabili sul web da chiunque.
Zoom ha assicurato un aggiornamento delle tecnologie e delle policy e si è impegnata a dedicare tutti i suoi ingegneri e programmatori alla risoluzione dei problemi di privacy.
L’azienda delle videoconferenza ha anche annunciato che preparerà un report sulla trasparenza per rispondere a tutte le domande sul trattamento dei dati ricevuta dai governi.
“Un’azienda che ha soprattutto clienti nord-americani e a cui capita di distribuire le chiavi di cifratura attraverso i server in Cina genera apprensione, perché Zoom potrebbe essere obbligata dalle leggi cinesi a svelare quelle chiavi alle autorità”, ha scritto Citizen Lab. Secondo l’associazione la app è un “obiettivo prioritario” per la raccolta di dati da parte dei servizi sergreti e azioni di hacking pilotate dai governi.