安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Zoom安全风险,隐私和GDPR合规性
2020-04-03 11:03:00 【

家庭工作和学习导致了视频会议的蓬勃发展,其中Zoom是主要的受益者。但是,对隐私和安全的关注提出了重要的问题:Zoom是否安全,甚至符合GDPR?

安全问题围绕最近发现的几个漏洞而进行,这些漏洞所花费的时间就是Zoom修复早期漏洞的时间。隐私问题集中于围绕用户或由Zoom保留的会议数据以及其他有权访问该数据的人缺乏透明度。我们将在本文中集中讨论隐私问题。

最近发现,即使iOS用户没有Facebook帐户,Zoom iOS应用程序也一直在向Facebook传递数据,这代表了数据保留和第三方访问问题。Zoom的隐私权政策中没有任何迹象表明这种情况正在发生(Zoom已停止了此操作,但iOS用户将需要下载最新的应用程序版本以防止其继续运行)。

这里有两个问题:缺乏透明度和未经用户同意将信息分发给第三方。“这明显违反了GDPR,”出生于法国伦敦的律师兼隐私权倡导者Tara Taubman-Bassirian告诉《安全周刊》“由于缺乏透明度,主持人拥有参与者不知道的许多功能,例如记录和进一步广播。”

同意问题是一个复杂的问题,如果要解决,则需要Zoom仔细考虑。GDPR认为必须自由给予收集个人数据的同意,并且如果双方之间权力不平衡,则不能自由选择,获得的任何同意都是无效的。已有一个先例。2019年9月,瑞典一所学校因使用面部生物识别技术追踪22名学生而被罚款20,000美元父母已表示同意,但数据保护管理者裁定:“鉴于数据主体(学生)与控制人(学校)之间明显不平衡,同意书不是有效的法律依据。”

对于办公室工作人员和学童来说,在家庭环境中的当前工作中有可能使用相同的论点。任何参加电话会议的邀请实际上都是一条权力不平衡且几乎没有拒绝的现实选择的指令。可能发生许多违反GDPR同意规则的COVID-19煽动性电话会议。Zoom将自己描述为数据处理器,而不是数据控制器(即主机)。如果GDPR数据监管机构支持此论点,并且会议主持人将会议记录保存在自己的服务器上,则意味着主持人应对GDPR下的数据负责。

这是主机可能无法识别的重要方面。Taubman-Bassirian认为,有效的同意变得更加重要,它应该是“更高的标准,因为收集和记录的数据是能够识别个人身份的生物特征识别技术” –在某些情况下将包括儿童。

Zoom似乎正在努力解决过去几周中提出的问题。周三发表博客中,该博客说:“我们正在调查每一个问题,并尽我们所能迅速解决。我们致力于向他们学习,并在未来做得更好。” 一个立即受到欢迎的声明是:“我们不出售用户数据,过去我们从未出售过用户数据,也无意继续出售用户数据。”

该博客解释了公司面临的压力。去年,每日会议的最大参加人数约为1000万,现在已超过2亿,其中包括20个国家/地区的90,000所学校。但是,这些问题存在于当前的使用激增中-它们不是由扩展引起的。

Zoom进一步解释说,该平台是为企业用户设计的,而家庭工人和学童的涌入令人惊讶。但是,对于隐私和安全的需求并没有在公司,家庭工人和学童之间进行区分-因此,这些论点都与当前问题无关。确实,他们宁愿提出另一个问题,因为它们表明设计或默认情况下缺乏隐私-这是GDPR的要求。

Zoom正在进行的改进之一是提高其透明度和清晰度。它已经在一个单独的博客中承认,作为其服务的端到端加密销售的产品并非如此。

F-Secure的首席顾问JarosławKamiński解释了相关性。使用的加密意味着对Zoom服务器与参与者之间的通信进行了加密,并且不会受到中间人攻击。他继续说:“ E2E意味着通信一直被加密,并且卖方无法访问。如果没有端到端加密,则卖方具有拦截/记录通信的技术能力。” 这并不意味着供应商会这样做。但Zoom并未指定没有。

Zoom还引入了新的透明度报告。非常欢迎。该公司表示,“正在准备一份透明度报告,其中将详细说明与数据,记录或内容请求有关的信息。” 注意单词“ content”。3月27日发布更新的隐私权政策明确表明,Zoom云将包含主持人希望记录的所有会议的记录-因此Zoom始终可以访问某些会议的内容。它没有说的是它不存储任何其他会议的内容。我们知道,由于它不使用端到端加密,因此可以拦截和存储所有内容。我们不知道是否这样做,也不知道它会保留存储的内容多长时间。

这引起了另一个问题,因为Zoom明确表示它遵守政府对内容的访问权的国家法律。但是Zoom在全球范围内运作,这意味着通过《云法案》,美国政府将可以访问外国数据。这值得考虑,因为除了可能的敏感商业信息之外,该内容甚至可能包括机密的外国政府数据。

3月27日,英国首相鲍里斯·约翰逊(Boris Johnson)发推文说,几小时前,他刚刚“主持了有史以来第一个数字内阁”。他分享的屏幕截图清楚地表明它已保存在Zoom上,甚至显示了Zoom会议ID号。由于会议已经结束并且第三方没有机会进行“破坏活动”,因此披露ID号并没有立即引起人们的关注。


F-Secure高级研究员Andy Patel解释了“ zoombombing”。“ Zoom会议ID是一个相对较短的数字字符串,很可能会被猜测或强行使用。通过构造潜在会议的URL(通过合成URL -通常只是Zoom URL,可能会使用客户名称扩展ID)附件),即使没有邀请,也可以找到并加入没有密码保护的会议”他告诉SecurityWeek“作为额外的奖励,有些人已经在他们的Zoom会议中发布了包含ID的屏幕截图,因此当人们找到这些截图时,他们都会加入公开会议。”

但是,在当前示例中,我们不知道主持人(鲍里斯·约翰逊(Boris Johnson)或内阁办公室)是否要求Zoom保留副本以供将来参考,或者Zoom是否默认保留副本。无论哪种情况,美国情报机构现在都可以要求访问会议上所说的一切。

很自然地希望英国的网络监护人-特别是内阁办公室和NCSC-在允许总理进行数字化之前会确保Zoom的隐私和安全。《安全周刊》要求两个办公室进行澄清,但一无所获。内阁办公室没有回答我们的问题,但提供了两条不相关的评论:“国家网络安全中心指南显示,没有安全理由禁止将Zoom用于此类会议。” 报告还说:“国防部(指国防部禁止使用Zoom的虚假报道)使用Zoom召开官方级别的政府间会议。没有计划对此进行审查。”

这意味着NCSC已经检查了Zoom并发现它足够。这似乎不太可能,因为到目前为止,由NCSC提供的唯一评论坚定地将责任转给了内阁办公室:“内阁办公室正在领导Zoom的回应,因此,我建议您声明一下。通过[他们的电子邮件地址]与新闻办公室联系。”

无论NCSC是否对Zoom进行了自己的测试,似乎都存在足够的隐私问题(过去和现在),以询问Zoom是否充分符合GDPR(或英国的《数据保护法》对GDPR的实施)。在这里,SecurityWeek向信息专员办公室征求意见。

答复是这样的:“冠状病毒大流行导致视频会议工具作为人们交流的一种宝贵方式的使用增加。任何此类技术都必须对用户透明,说明如何处理其数据,并为用户提供选择和控制权。在这个阶段,我们正在考虑有关视频会议应用程序的各种关注。”

没有对Zoom的特定参考,但是我们可以假定它在所考虑的视频会议工具列表中居于首位。其他欧洲数据处理监管机构也可能做类似的事情。从表面上看,Zoom似乎有理由要解决-但Zoom主机还必须考虑自己作为数据控制者的风险-尤其是在有效同意问题上。

是否应该对Zoom进行调查-如果发现违反则被处以罚款-是另一个问题。Crypsis集团主管Brittany Roush告诉《安全周刊》:“我的意见是,拥有确保灵活性,确保关键服务能够继续运行(尤其是在危机中)的灵活性,并不能使CCPA和GDPR脱颖而出。如果有的话,它表明监管机构正在执行其基本职能-确保公司保护消费者数据...从许多方面来说,CCPA和GDPR都应从HIPAA那里借鉴,从而降低了安全性标准。为了应对大流行的关键医疗保健需求,远程医疗……我们没有足够的时间来设计完美的解决方案。”


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇如何与远程工作者保持业务安全 下一篇在黑客大赛中发布了针对Linux内核..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800