Zoom is het doelwit geworden als het gaat om privacy & security. Zoom heeft op zeer korte termijn enorm moeten opschalen, ze hebben dit te snel gedaan. Ze nemen dan nu ook een stap terug om zich te focussen op deze belangrijke onderwerpen. 

Waar er in december ongeveer 10 miljoen live sessies per dag waren, zijn dit er in maart 200
miljoen. 2 april heeft Zoom in een statement laten weten zich vooral te richten op privacy & security en andere updates 90 dagen uit te stellen. Deze massale opschaling is logisch, veel bedrijven of instellingen gebruiken dergelijke platforms om contact tussen collega’s/ klanten/ leerlingen te onderhouden of om live events te organiseren. Aangezien de maatregelen voor het thuiswerken nog wel even aan zullen houden, zullen dergelijke platforms steeds meer gebruikers krijgen.  

Voor ons reden om dieper in het populaire Zoom te duiken en een aantal zaken op een rij te zetten. 

Zoom kan als gratis dienst gebruikt worden, dus realiseer je net als bij alle andere gratis toepassingen dat je betaalt met je eigen data! Het is namelijk zo dat er persoonlijke informatie over jou wordt verzameld en opgeslagen op de servers van Zoom.  

Wat zijn de meest in het oog springende kwetsbaarheden de afgelopen periode: 

  • Zoombombing 
  • Default setting niet goed genoeg 
  • End-2-end Encryptie blijkt transport encryptie 

Wat is Zoombombing?

Wanneer je gebruik maakt van Zoom krijg je een ID-nummer wat tussen de 9 en 11 cijfers ligt. Door middel van bepaalde technieken kunnen deze ID-nummers gemakkelijk geraden worden. Zo kunnen buitenstaanders gemakkelijk inbreken in live sessie en doen aan Zoombombing. Er kunnen bijvoorbeeld vreemde beelden getoond worden. Voor veel scholen voldoende reden om geen gebruik meer te maken van dit platform.  

Zoom heeft de mogelijkheid om de sessie een wachtwoord te geven, zo kan Zoombombing voorkomen worden.  

Wat zijn Default settings?

Dit kun je zien als de standaard instellingen van Zoom. Denk hierbij aan het standaard opgeven van een wachtwoord voor je sessie. Op deze manier wordt voorkomen dat er ongenodigde gasten kunnen deelnemen.  

Zoom is bezig met het instellen van de standaard basis instellingen, waardoor de beveiliging en privacy beter gewaarborgd kan worden.  

Wat is End-2-end encryptie?

Zoom beschikt op dit moment niet over de mogelijkheid om bij video meetings E2E encryptie toe te passen. De data tussen de gebruiker en Zoom server is voorzien van encryptie.  

E2E encyrptie is gebaseerd op de beveiliging van data tussen gebruikers, zonder tussenkomst van een bedrijf. Een voorbeeld hiervan is WhatsApp.  

Ook kwam Zoom in opspraak omdat het je Windows wachtwoord kan lekken, wanneer je hebt geklikt op een verkeerde link.  Zoom laat gebruikers linkjes naar websites met elkaar delen. De linkjes kunnen ook naar bestanden op je computer leiden, waardoor een aanvaller je Windows-wachtwoord kan stelen. 

Dat zit zo: zodra je op een linkje drukt dat leidt naar een bestand op je computer, dan stuurt Windows je logingegevens automatisch naar de aanvaller. Het maakt niet uit of het bestand bestaat. 

Zo’n gevaarlijk linkje lijkt ook op een normaal linkje: ze zijn beide blauw, onderstreept en klikbaar, maar in plaats van https:// begint dit linkje met \\. 

Via zo’n linkje kan een aanvaller je ook een eventueel gevaarlijk programma op je computer laten openen. Als je klikt op de link \\127.0.0.1\C$\windows\system32\calc.exe open je in dit geval de rekenmachine. 

Een app als Zoom mag dat soort linkjes naar lokale bestanden op je computer eigenlijk niet tonen, want het vormt een beveiligingsrisico. Het wachtwoord dat wordt verstuurd, is nog wel versleuteld. Maar deze versleutelde wachtwoorden zijn te kraken met gratis software. Hoe makkelijker je wachtwoord is, hoe makkelijker deze te kraken is.  

In de privacyverklaring van Zoom wordt aangegeven dat gegevens niet vrijelijk verkocht worden aan derden partijen zonder toestemming. Wel worden ze gedeeld met Google Ads en Google analyticsEn door een onlangs uitgevoerd onderzoek door Motherboard, blijkt dat bij de iOS-versie data van gebruikers doorstuurt aan Facebook. Zoom is hier niet transparant over naar gebruikers.  

Het is dan ook verstandig om het aantal gegevens wat gedeeld wordt tot een minimum te beperken. Verwijder data uit Zoom wanneer u klaar bent met de vergadering. Er zijn namelijk redenen om aan te nemen dat de beveiliging niet is zoals het zou moeten zijn, vooral vanwege het feit dat er een plotselinge opschaling is van gebruikers, maar ook dat er veel “gevoelige” data wordt gedeeld door deze gebruikers.  
 
Vergeet ook niet dat uw verwerkersregister uitgebreid moet worden wanneer u gebruik gaat maken van deze applicatie en dat er een verwerkersovereenkomst gesloten moet worden. 
Veel medewerkers zullen zelf het besluit nemen om gebruik te maken van deze applicaties ondanks dat u bijvoorbeeld Microsoft Teams heeft geïmplementeerd binnen uw organisatie. We noemen dit ook wel schaduw IT. Breng medewerkers dus op de hoogte over de risico’s, ook al weet u niet precies of deze applicatie gebruikt wordt!