A Comissão Federal de Comércio dos Estados Unidos (Federal Trade Commission, ou FTC) anunciou hoje um acordo com a Zoom Video Communications que exigirá que a empresa implemente um programa mais robusto de segurança. De acordo com o órgão, a companhia “enganou os usuários” por anos ao anunciar que oferecia “criptografia ponta a ponta de 256 bits” como proteção.
As chaves criptográficas mantidas pelo Zoom, porém, poderiam permitir que a empresa tivesse acesso ao conteúdo das reuniões de seus clientes. ‘Durante a pandemia, praticamente todos – famílias, escolas, grupos sociais e empresas – estão usando videoconferência para se comunicar, tornando a segurança dessas plataformas mais crítica do que nunca”, afirmou o Diretor do Bureau de Proteção ao Consumidor da FTC, Andrew Smith.
A FTC ainda afirma que o Zoom também enganou alguns usuários que queriam armazenar reuniões gravadas na nuvem, garantindo que esses vídeos seriam criptografados imediatamente após o término da videoconferência. “Em vez disso, algumas gravações supostamente foram armazenadas sem criptografia por até 60 dias nos servidores do Zoom antes de serem transferidas para seu armazenamento seguro em nuvem”, afirma o órgão.
Um porta-voz da Zoom disse em um comunicado enviado por e-mail ao site The Verge que a segurança de seus usuários é uma prioridade e que já tratou dos problemas discutidos com a FTC. “A resolução está de acordo com nosso compromisso de inovar e aprimorar nosso produto, pois oferecemos uma experiência de comunicação de vídeo segura”, diz a declaração.
A criptografia de ponta a ponta que aprimora a privacidade das vídeo chamadas, só foi implementada no Zoom recentemente. Imagem: Ymphotos/Shutterstock
Como parte do acordo com a FTC, o Zoom deve documentar anualmente quaisquer riscos potenciais de segurança interna e externado seu sistema, além de desenvolver formas de proteção contra tais riscos. A empresa ainda terá que implementar um programa de gerenciamento de vulnerabilidade e implantar salvaguardas, como autenticação em múltiplos fatores, para proteger contra acesso não autorizado à sua rede.
“Além disso, a equipe do Zoom será solicitada a revisar todas as atualizações de software em busca de falhas de segurança e deve garantir que as atualizações não prejudiquem os recursos de segurança de terceiros”, determinou a FTC. A empresa também está proibida de fazer “declarações falsas sobre suas práticas de privacidade e segurança”.
Só no fim de outubro a Zoom Technologies confirmou que as vídeo chamadas realizadas por meio de seu app contariam com a criptografia de ponta a ponta (E2E, ou “end to end”, no jargão em inglês). Denúncias sobre propaganda enganosa da empresa chegaram ao seu ápice após uma reportagem do The Intercept, que revelou que o Zoom prometia, em seu site e white paper, a criptografia de ponta a ponta, mas não a entregar no uso do app.
Desde então, o CEO da Zoom Technologies, Eric Yuan, tomou uma série de atitudes comprometidas com o aprimoramento do serviço, como contratar a consultoria de Alex Stamos, ex-chefe de segurança do Facebook e Yahoo. A partir daí, diversas atualizações ao serviço inseriram novos recursos de privacidade.
A criptografia de ponta a ponta do Zoom vale para usuários gratuitos e pagantes, e está sendo implementada de forma gradual.
Tags: