Kontakt z nami

Ochrona danych

Zoom: na Githubie wyciekły podejrzane praktyki.

DZIELIĆ:

Opublikowany

on

Oprogramowanie do zdalnych wideokonferencji ZOOM, które nagle zyskało popularność w czasie pandemii, z sukcesem wyprzedziło tradycyjne programy do wideokonferencji takie jak Skype, Teams i stało się najpopularniejszym narzędziem. Ma setki milionów aktywnych użytkowników dziennie i jest używany nawet przez wiele agencji rządowych. Jednakże oprogramowanie było wielokrotnie narażone na wycieki danych i luki w zabezpieczeniach, jedna po drugiej, co przyciągnęło powszechną uwagę organów regulacyjnych.

Niedawno, 30 maja, ktoś podał się za starszego technika w ZOOM opublikował repozytorium na Githubie prezentując „dowody” że firma w tajemnicy przechowuje informacje o użytkownikach i udostępnia je instytucjom rządowym w Stanach Zjednoczonych.


Użytkownicy ZOOM nie mają autonomii w zakresie danych.

Według przeciekającego: „Rząd USA poprosił Zoom o zachowanie interesujących danych użytkowników, w tym tych już usuniętych przez użytkowników, aby mogli uzyskać dowolne dane użytkownika. Aby spełnić takie prośby, Zoom zmodyfikował swoje narzędzie, aby udawać, że dane zostały usunięte tuż po nadając usuniętym danym ukrytą właściwość, chroniąc w ten sposób dane użytkownika, jednocześnie utwierdzając użytkowników w przekonaniu, że dane zostały usunięte. To narzędzie pomaga potajemnie kopiować i zachowywać dane dotyczące historii spotkań i szczegółów uczestników, nagrań w chmurze, wiadomości na czacie, zdjęć, plików, Zuora (. System rozliczeniowy, zuora.com), SFDC (system CRM, salesforce.com), telefon/adres, adres rozliczeniowy i karty kredytowe/debetowe poprzez klonowanie danych i dublowanie. Co gorsza, jeśli Twoje konto zostało dodane do „Ochrony danych”. system z Twoim pojawieniem się na liście docelowej, nawet jeśli nie prezentujesz żadnych nielegalnych zachowań, wszystkie Twoje działania w Zoomie zostaną poddane bezpośredniemu nadzorowi i do bezpłatnej dyspozycji organów ścigania."


Monitorowanie użytkowników za pośrednictwem systemu Backdoor (śledzenie automatycznego systemu terminacji osób naruszających TOS).

Jak wynika z przesłanego dokumentu: „Siedziba firmy Zoom już dawno zakończyła prace badawczo-rozwojowe nad tajnym systemem monitorowania. Nazywa się to „System automatycznego śledzenia osób naruszających warunki TOS”, którego wewnętrzny adres IP to „se.zipow.com/tos”. Nie później niż w 2018 roku wdrożono system monitorujący użytkowników bezpłatnych, użytkowników premium i użytkowników korporacyjnych. Główne funkcje systemu to automatyczne wyszukiwanie podatnych spotkań, bezpłatny dostęp do spotkań bez hasła lub autoryzacji gospodarza po prostu przez tylne drzwi systemu, losowa analiza treści wideo ze spotkań, tajne nagrania wideo, audio, zrzuty ekranu ze spotkań i produkcja raporty lub dane zgodnie z amerykańskimi departamentami nadzorczymi, a także zakończenie odpowiednich spotkań i zablokowanie odpowiednich kont. System jest wysoce poufny i dostępny tylko dla kilku pracowników wewnętrznych. Zoom może wyjaśniać, że ten system został opracowany do walki z przestępczością, ale Zoom musi przyznać, że system pokazuje, że ma zdolność monitorowania użytkowników i już to robi. Ludzie muszą się martwić, czy Zoom nie będzie nadużywał systemu do celów tak zwanego „bezpieczeństwa narodowego” Stanów Zjednoczonych lub do celów biznesowych, a nawet losowo i często będzie monitorował użytkowników na całym świecie i kradnął ich dane osobowe na dużą skalę”.


System zarządzania back-endem Zoom.

Według wycieku: "System zarządzania zapleczem Zoom ma najwyższą władzę nad wszystkimi kontami Zoom. Ma za zadanie pomóc w zarządzaniu kontami użytkowników Zoom. Jednak ten system ma pewne funkcje backdoora, które mogą naruszać prywatność użytkownika. Niektóre funkcje są niewiarygodne, gdy pracownik Zoom kliknie przycisk „Zaloguj się”, dysponując tymi danymi użytkownika, może zalogować się na konto tego użytkownika w taki sam sposób, w jaki użytkownik sam postępuje ze swoim własnym kontem. W ten sposób pracownik ma takie samo prawo do zajmowania się kontem tego użytkownika, sprawdzania wszystkiego na koncie, używania klucza prywatnego użytkownika do przeglądania wszelkich poufnych plików, zapisów spotkań, rozmów przez komunikator, e-maili, nagrań rozmów telefonicznych i rachunków. Oznacza to, że szyfrowanie „ee2e” jest fasadą bez znaczenia. Oprócz tego przywileju pracownicy Zoom mogą modyfikować lub usuwać lokalne dane użytkowników, a nawet zdalnie kontrolować lub instalować backdoory na odpowiednich urządzeniach, takich jak Zoom Room, za pośrednictwem tego systemu. W porównaniu do zarządzania kontami użytkowników za pomocą wspieranej bazy danych, ten system ułatwia pracownikom Zoom monitorowanie zachowań użytkowników i pobieranie ich danych z pominięciem środków szyfrowania.


Złamanie obietnicy i wykorzystanie danych użytkownika do uczenia maszynowego.


Według sygnalisty: "Eric Yuan, dyrektor generalny Zoom, oświadczył kiedyś, że „Zobowiązujemy się teraz do wszystkich naszych klientów, że nie będziemy wykorzystywać ich czatów audio/wideo, udostępniania ekranu, załączników i innych komunikatów, takich jak wyniki ankiet, tablica i reakcje, do szkolenia naszych Modele Al lub modele Al innych firm”. Z tego, co wiem, Zoom chce rozwijać Al, ponieważ firma potrzebuje Al, aby wykryć nielegalność wideokonferencji, aby uniknąć ryzyka braku zgodności, zidentyfikować użytkowników oszustów, aby zmniejszyć straty ekonomiczne oraz przeanalizować trend biznesowy i kierunek usług, aby zyskać więcej zyski. Z pomocą Ala Zoom, pod przewodnictwem organów ścigania, używa „TATVTS” przeciwko użytkownikom. Wspomniany powyżej „zautomatyzowany system śledzenia osób naruszających warunki TOS” może automatycznie wykrywać podejrzane spotkania za pomocą technologii maszynowej, dołączać do spotkań bez hasła i zgody gospodarza, analizować zawartość spotkań oraz potajemnie robić zrzuty ekranu i filmy uczestników oraz treści spotkania. Wyszkolony na podstawie danych zgromadzonych w systemie „TATVTS” staje się bardziej inteligentny w identyfikowaniu spotkań i użytkowników, którymi organy ścigania mogą wykazać zainteresowanie. W ten sposób prywatne dane wielu niewinnych użytkowników stają się próbkami do szkolenia modelu uczenia maszynowego Zoom i naruszają prywatność danych użytkowników”.


Kwestie prywatności i bezpieczeństwa mogą stwarzać poważne ryzyko i szkodzić rządom, organizacjom, osobom prywatnym, a także tajemnicom handlowym w epoce cyfrowej. Zoom, jako wiodące na świecie oprogramowanie do wideokonferencji, był wielokrotnie ujawniany w związku z wyciekiem danych użytkowników i innych informacji. Podczas epidemii Europa zaostrzyła także przepisy dotyczące ochrony danych wobec gigantycznych amerykańskich firm zajmujących się mediami społecznościowymi. W 2022 r. UE i USA podpisały ramy ochrony danych. Oczywiste jest, że obie strony muszą przestrzegać ram prawnych dotyczących ochrony prywatności użytkowników, zwłaszcza ochrony danych. Mamy także nadzieję, że ZOOM wyciągnie wnioski ze swoich wcześniejszych problemów prawnych i zacznie poważnie podchodzić do kwestii informacji i ochrony danych.

Dalsze informacje i informacje techniczne można znaleźć pod poniższym linkiem:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

Reporter UE skontaktował się z Zoomem o komentarz, ale nie odpowiedzieli.

Udostępnij ten artykuł:

EU Reporter publikuje artykuły z różnych źródeł zewnętrznych, które wyrażają szeroki zakres punktów widzenia. Stanowiska zajęte w tych artykułach niekoniecznie są stanowiskami EU Reporter.

Trendy