Zoom: problemi con privacy e sicurezza

2

Nelle ultime settimane, “complice” la situazione COVID-19, moltissimi servizi di videoconferenza hanno registrato picchi di traffico elevatissimi e tra questi c’è ovviamente anche Zoom, compagnia in attività dal 2013.

Zoom, forse più di altre, ha visto un boom nell’utilizzo della propria piattaforma ed infrastruttura attirando l’attenzione anche sulla compagnia e sulle sue policy riguardanti privacy e sicurezza.

La privacy policy sembra simile a quella di altre piattaforme digitali, ovvero l’utente accetta che vengano raccolti e conservati dati personali per poi condividerli con terze parti. Qui però la questione privacy inizia a prendere un suo significato. La raccolta di “dati personali” è estesa anche a tutti i messaggi, file, condivisione schermi ed i nomi dei partecipanti in una sessione specifica.

Inutile sottolineare come tutte queste informazioni, nelle mani sbagliate, potrebbero seriamente danneggiare persone o aziende intere. Negli Stati Uniti, a riguardo, è già partita un’inchiesta, piu che altro perché queste “terze parti” includevano il gigante Facebook.

Ma la cosa non finisce qui. Anche lato sicurezza hanno una versione tutta loro di come funziona l’encryption.

Parliamo della end-to-end encryption, che Zoom afferma di utilizzare per i meeting effettuati tramite la propria piattaforma.

A dispetto dell’iconcina verde confortante, con il lucchettino che dice “Zoom is using an end to end encrypted connection“, quello che fa realmente Zoom è utilizzare una combinazione di UDP e TCP per cifrare le connessioni.

Le chiamate TCP sono effettuate utilizzando TLS e le UDP sono criptate con AES, utilizzando una chiave negoziata sempre attraverso una connessione TLS. In poche parole: lo stesso meccanismo che utilizzano i web server per comunicare con i siti in HTTPS, una transport encryption.

Il sito theintercept.com ha però indagato un po’ su cosa intenda veramente l’azienda Zoom quando parla di end-to-end encryption, scoprendo come questa si riferisca alle comunicazioni da un end point Zoom ad un altro end point (ossia i server di Zoom), non alle macchine degli utenti.

Sì, la strada della comunicazione tra il PC dell’utente Zoom ed il server di riferimento è… In chiaro!

Insomma, pare che da parte dell’azienda ci sia ancora un po’ poca trasparenza e ci si aspetta che, visto l’utilizzo massivo della piattaforma, la compagnia si un po’ più accorta su queste tematiche.

Ma gli utenti di Zoom cosa ne pensano? I nostri lettori preferiscono altre piattaforme in questo periodo di videoconferenze forzate?

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.