זום וה-FTC הגיעו לפשרה בגין האשמות להטעיית משתמשים בנושאי אבטחה

נציבות הסחר הפדרלית של ארה"ב, ה-FTC, הודיעה על הסדר שערכה עם זום (Zoom), לאחר שהאשימה את ענקית שיחות הווידיאו שהיא אחראית ל"סדרה של פרקטיקות מתעתעות ולא הוגנות שפגעו בביטחון המשתמשים בה". בין השאר עקב טענות חברת זום כי ההצפנה בפלטפורמה שלה חזקה ממה שהיא בפועל. מניות זום ירדו ב-14% במסחר בבורסה עקב פרסום הדיווחים אתמול (ב').

עד לפני פרוץ מגיפת הקורונה, רבים לא הכירו בכלל את זום, שהפכה ממוצר נישתי יחסית כמעט בין לילה – ובחסות הנגיף, הבידוד והסגר – לפלטפורמה הפופולרית ביותר בעולם לשיחות וידיאו רבות משתתפים. היא הגדילה את בסיס המשתמשים שלה מ-10 מיליון כאלו בדצמבר 2019, ל-300 מיליון באפריל השנה. בעיקר היא הצליחה בזכות חולשות של מתחריה, שלא השכילו לפתח מספר תכונות שיש בזום, ונאלצו להישאר מאחור. אלא שעם ההצלחה נחשפו בעיות בדמות דיווחים על כשלי אבטחה מטרידים במיוחד ומשתמשים רבים גם דיווחו על פריצות של האקרים לשיחותיהם, כשאותם גורמים הכניסו אליהן איומים, מסרים גזעניים, אנטי-הומואים או אנטישמיים, באירועים חמורים שאף משכו את תשומת ליבם של חוקרי ה-FBI וסוכנויות אכיפת חוק אחרות. כתוצאה מכל אלו, ביוני האחרון הודיעה החברה על החלת הצפנה-מקצה-לקצה לכל המשתמשים, לטובת אבטחה תקינה של פרטיותם. בנוסף זום הכירה בבעיות האבטחה, ופתחה בהליך בן שלושה חודשים שבהמלכו החברה הקפיאה תכונות שאינן מאובטחות דיין. אבל בזה לא היה די.

דורשת הוגנות ותכנית אבטחה חדשה. רשות הסחר הפדרלית, ה-FTC

תיאלץ לפתח תכנית אבטחה חדשה ומקיפה

כעת זום – שכאמור כבר פרסמה מאפייני אבטחה חדשים, ואף שכרה אנשי אבטחה בולטים לשירותה, בתגובה לחששות שנפוצו מפני חטיפת פגישות שבוצעה בפלטפורמה – הסכימה לדרישת ה-FTC לתעד סיכוני אבטחה פוטנציאליים, ולפתח דרכים להגן מפני סיכונים אלה, ליישם תכנית לניהול פגיעות, ולפרוס בקרות אבטחה, כמו אימות רב-גורמים ובקרות מחיקת נתונים.

החברה חייבת גם לבדוק עדכוני תוכנה לגבי פגמי אבטחה, להשיג הערכות דו-שנתיות של תכנית האבטחה שלה מטעם גורמי צד שלישי, ולא להצהיר עוד הצהרות כוזבות או מוליכות על פרטיות או אבטחה, כך על פי הצהרת ה-FTC.

ה-FTC טוענת כי זום הטעתה את המשתמשים ואמרה כי היא הציעה "הצפנה-מקצה-לקצה, 256 סיביות", כאשר במציאות החברה הציעה רמת הצפנה נמוכה יותר ו"שמרה על מפתחות ההצפנה שיאפשרו לזום לגשת לתוכן של פגישות לקוחות”.

עוד ניטען כי זום הטעתה לכאורה משתמשים שרצו לאחסן פגישות מוקלטות בענן החברה, ואמרה כי הפגישות הללו הוצפנו מיד לאחר סיומן, כשחלק מההקלטות נשמרו ללא הצפנה בשרתי החברה למשך עד חודשיים.

פעולות אחרות שהוטלו בספק על ידי ה-FTC היו התקנת תוכנה בסתר כחלק מעדכון ידני לחלק מהמשתמשים ש"הגדילה את הסיכון של המשתמשים לניטור וידיאו מרחוק על ידי זרים". כן ציינה הנציבות שיטות מטעות אחרות שבהן עשתה החברה שימוש.

"הטענות המטעות של זום העניקו למשתמשים תחושת ביטחון כוזבת", כך נקבע בתלונת ה-FTC, "במיוחד עבור מי שהשתמש בפלטפורמה של החברה כדי לדון בנושאים רגישים כמו מידע בריאותי וכלכלי", נטען מטעם הנציבות. "בפוסטים רבים בבלוג, זום הגדירה במיוחד את רמת ההצפנה שלה כסיבה ללקוחות וללקוחות פוטנציאליים להשתמש בשירותי ועידת הווידיאו של זום", הסבירה הנציבות את חומרת העניין.

דוברת זום, קולין רודריגז, אמרה בהצהרה, באמצעות החברת לניהול משברים החיצונית שאיתה היא עובדת סרד ורבינן (Sard Verbinnen), כי זום "כבר התייחסה לנושאים שזוהו על ידי ה-FTC".