Entre em contato

Proteção de dados

Zoom: práticas duvidosas vazaram no Github.

Compartilhar:

Publicado

on

O software de videoconferência remota ZOOM, que repentinamente ganhou popularidade durante a pandemia, ultrapassou com sucesso os softwares de videoconferência tradicionais, como Skype, Teams, e se tornou a ferramenta mais popular. Possui centenas de milhões de usuários ativos diariamente e é até usado por muitas agências governamentais. No entanto, o software tem sido repetidamente exposto a fugas de dados e vulnerabilidades de segurança, um após o outro, o que atraiu a atenção generalizada das autoridades reguladoras.

Recentemente, no dia 30 de maio, alguém que se dizia técnico sênior do ZOOM postou um repositório no Github apresentando “evidências” que a empresa salva secretamente as informações do usuário e as fornece às instituições governamentais dos Estados Unidos.


Os usuários do ZOOM não têm autonomia de dados.

De acordo com o vazador: "O governo dos EUA pediu ao Zoom que preservasse os dados de interesse do usuário, incluindo aqueles já excluídos pelos usuários, para que eles possam obter todos e quaisquer dados do usuário. Para atender a essas solicitações, o Zoom modificou sua ferramenta para fingir que os dados foram excluídos enquanto apenas dando aos dados excluídos uma propriedade oculta, preservando assim os dados do usuário e fazendo com que seus usuários acreditem que os dados foram apagados. Esta ferramenta ajuda a copiar e preservar secretamente o histórico de reuniões e detalhes dos participantes, gravações na nuvem, mensagens de bate-papo, fotos, arquivos, Zuora (. Sistema de cobrança, zuora.com), SFDC (sistema CRM, salesforce.com), telefone/endereço, endereço de cobrança e cartões de crédito/dívida por meio de clonagem e espelhamento de dados. O que é pior, se sua conta foi adicionada à "Preservação de dados". sistema com a sua presença na lista de alvos, mesmo que não apresente qualquer comportamento ilegal, todas as suas ações no Zoom serão colocadas sob vigilância direta e à livre disposição dos departamentos de aplicação da lei."


Monitoramento de usuários através de sistema backdoor (sistema automatizado de rescisão de violadores de TOS).

De acordo com o documento postado: "A sede da Zoom concluiu a pesquisa e desenvolvimento de um sistema de monitoramento secreto há muito tempo. É denominado "Sistema automatizado de rescisão de violadores de TOS de rastreamento", cujo IP interno é "se.zipow.com/tos". O mais tardar em 2018, o sistema foi colocado em aplicação, monitorando usuários gratuitos, bem como usuários premium e usuários corporativos. As principais funções do sistema são busca automática de reuniões suscetíveis, acesso gratuito às reuniões sem senha ou autorização do organizador simplesmente pelo backdoor do sistema, análise aleatória do conteúdo de vídeo das reuniões, gravações secretas de vídeos, áudio, capturas de tela das reuniões e produção de relatórios ou dados de acordo com os departamentos de supervisão dos EUA, bem como o encerramento de reuniões suscetíveis e o banimento de contas relativas. O sistema é altamente confidencial e aberto apenas a alguns funcionários internos. O Zoom pode explicar que este sistema foi desenvolvido para combater o crime, mas o Zoom tem que reconhecer que o sistema mostra que tem a capacidade de monitorar os usuários e já o faz. As pessoas precisam se preocupar se o Zoom abusará do sistema para a chamada “segurança nacional” ou para fins comerciais dos EUA, e até mesmo monitorará usuários globais de forma aleatória, frequente e indistinguível e roubará seus dados pessoais em grande escala.”


Sistema de gerenciamento de back-end Zoom.

De acordo com o vazamento: "O sistema de gerenciamento de back-end Zoom tem autoridade máxima sobre todas as contas Zoom. Ele foi projetado para ajudar a gerenciar contas de usuários do Zoom. No entanto, este sistema possui algumas funções backdoor que podem violar os dados de privacidade do usuário. Algumas funções são inacreditáveis, quando um funcionário do Zoom clica no botão “Login”, com as credenciais deste usuário, ele pode entrar na conta deste usuário da mesma forma que o próprio usuário faz com sua própria conta. Desta forma, o funcionário tem o mesmo direito de lidar com a conta deste usuário, verificando tudo o que está na conta, utilizando a chave privada do usuário para ver quaisquer arquivos confidenciais, registros de reuniões, chats de mensagens instantâneas, e-mails, gravações telefônicas e cobranças. Isso significa que a medida de criptografia “ee2e” é uma fachada sem sentido. Além desse privilégio, os funcionários do Zoom podem modificar ou excluir dados locais dos usuários, e até mesmo controlar remotamente ou implantar um backdoor em dispositivos relativos como o Zoom Room através deste sistema. Comparado ao gerenciamento de contas de usuários por banco de dados apoiado, este sistema torna mais conveniente para a equipe do Zoom monitorar o comportamento dos usuários e buscar seus dados, ignorando as medidas de criptografia."


Quebrando promessas e usando dados do usuário para aprendizado de máquina.


Segundo o denunciante: "Eric Yuan, CEO da Zoom, proclamou certa vez que "Agora nos comprometemos com todos os nossos clientes de que não usaremos nenhum de seus bate-papos de áudio/vídeo, compartilhamento de tela, anexos e outras comunicações, como resultados de pesquisas, quadro branco e reações para treinar nossos Modelos Al ou modelos Al de terceiros". Pelo que sei, a Zoom está ansiosa para desenvolver Al, porque a empresa precisa de Al para descobrir ilegitimidade em videoconferência para evitar riscos de conformidade, para identificar usuários fraudulentos para reduzir perdas econômicas e para analisar tendências de negócios e foco de serviço para ganhar mais lucros. Com a ajuda de Al, o Zoom, sob a orientação das autoridades, usa “TATVTS” contra os usuários. O "Sistema automatizado de rastreamento de terminação de violadores de TOS" mencionado acima pode detectar automaticamente reuniões suspeitas por meio de aprendizado de máquina, participar de reuniões sem senha e permissão do organizador, analisar o conteúdo da reunião e capturar secretamente capturas de tela e vídeos dos participantes e do conteúdo da reunião. Treinado pelos dados coletados no sistema, o “TATVTS” se torna mais inteligente na identificação de reuniões e usuários nos quais as autoridades possam demonstrar interesse. Assim, os dados privados de muitos usuários inocentes tornam-se amostras para treinar o modelo de aprendizado de máquina do Zoom e violam a privacidade dos dados dos usuários”.


As questões de privacidade e segurança podem criar sérios riscos e prejudicar governos, organizações, indivíduos, bem como segredos comerciais na era digital. O Zoom, como software de videoconferência líder mundial, foi exposto mais de uma vez por vazamento de dados de usuários e outras informações. Durante a epidemia, a Europa também reforçou as leis de protecção de dados contra as gigantescas empresas americanas de redes sociais online. Em 2022, a UE e os EUA assinaram o quadro de privacidade de dados. É claro que ambas as partes devem respeitar o quadro jurídico na protecção da privacidade pessoal dos utilizadores, especialmente a protecção de dados. Esperamos também que a ZOOM possa aprender com seus problemas jurídicos anteriores e começar a levar a sério as questões de informação e proteção de dados.

Para leitura adicional e informações técnicas, siga o link abaixo:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

Repórter da UE contatou Zoom para comentar, mas eles não responderam.

Compartilhe este artigo:

O EU Reporter publica artigos de várias fontes externas que expressam uma ampla gama de pontos de vista. As posições tomadas nestes artigos não são necessariamente as do EU Reporter.

TENDÊNCIA