O Zoom é um dos aplicativos que mais cresceu com a pandemia da Covid-19, mas ao mesmo tempo o crescimento expôs uma série de vulnerabilidades que agora começam a ser corrigidos. Agora, o aplicativo finalmente terá criptografia de ponta a ponta que era prometido desde o princípio, mas só para os clientes pagantes.

Como informa a agência Reuters, a decisão veio após uma discussão na última quinta-feira com líderes de organizações de liberdades civis e grupos de combate ao abuso sexual infantil, como informou Alex Stamos, consultor de segurança do Zoom. Ele não soube dizer se a decisão se estenderia para outras organizações sem fins lucrativos.

A empresa, no entanto, ainda não confirma esses planos, apesar da declaração de Stamos. “A abordagem do Zoom para a criptografia de ponta a ponta ainda é um trabalho em andamento, incluindo o rascunho do design criptográfico, publicado na semana passada, e as discussões sobre a quais clientes ela se aplicaria”, diz o comunicado enviado ao site The Verge.

A questão de criptografia de ponta a ponta é sempre polêmica. Ela é importante para que dados circulem pela rede de forma segura, o que é especialmente importante para companhias que fazem suas videoconferências e discutem assuntos extremamente sensíveis. Há várias situações que podem trazer prejuízos graves aos usuários em caso de interceptação de conversas em vídeo, mas todas elas giram em torno de um conceito simples: uma conversa privada não deve ser facilmente interceptável por cibercriminosos ou governos autoritários. Da mesma forma, a criptografia também pode facilitar a prática de crimes online, inviabilizando a monitoração do teor do que se é discutido e a ação de investigação policial. Daí o motivo de o Zoom ter discutido a implementação do recurso com outras organizações antes de colocá-lo em prática.

O Zoom havia anunciado no início de maio a aquisição da startup Keybase, especializada justamente em criptografia. Na ocasião, Eric Yuan, CEO do Zoom, disse que o negócio tinha como o objetivo “cumprir o desejo de criar uma plataforma de comunicação em vídeo verdadeiramente privada”.

Inicialmente, o Zoom sofreu muitas críticas por anunciar criptografia de ponta a ponta, mas sem utilizar o recurso de fato. A empresa criptografava o tráfego de dados entre o terminal do usuário e o servidor, mas internamente as conversas eram decifradas e circulavam sem a proteção adequada. Na prática, isso permitiria que algum ataque bem-sucedido à empresa pudesse interceptar as conferências, mas também poderia abrir espaço para que algum funcionário mal intencionado pudesse acessar esses dados indevidamente.

A empresa também precisou lidar com uma outra “dor do crescimento”, que ficou conhecida como “zoombombing”. Sem a preocupação com a implementação de proteções, pessoas começaram a invadir salas sem serem convidadas, expondo os participantes a pornografia ou outras imagens chocantes só para causar transtornos. A solução foi adicionar uma “sala de espera”, em que o organizador da videoconferência decide se permite que a pessoa se junte à sala antes que ela possa se comunicar com os outros.