Non se la stanno passando granchè bene dalle parti di San Josè, California, nella sede di Zoom. Sebbene i download dell’app siano schizzati (ben 600.000 a fine marzo), sono emersi evidenti problemi di privacy insieme ad alcune registrazioni private finite su altre piattaforme. Zoom adesso è nel mirino degli esperti di sicurezza informatica.
Cosa è Zoom
Diffusa da anni tra gli adolescenti, che scherzosamente si riferiscono a sé stessi come “Zoomers”, nel giro di poche settimane il ricorso a quest’app è diventato virale per milioni di persone, in particolare tra studenti delle scuole superiori e lavoratori di tutto il mondo: nel campo ludico, ricreativo, dell’apprendimento online e del remote working. Zoom Video Communications è una società che è salita alla ribalta negli ultimi giorni di “confinamento forzato” in casa. La sua app per iOS è diventata la più scaricata sull’App Store di Apple a fine marzo. E mentre il mercato azionario mondiale non se la passava bene le azioni di Zoom sono salite, con la compagnia valutata fino 29 miliardi di dollari, ossia più delle compagnie aeree USA come Delta, American Airlines o United Airlines. Si stima che Zoom si preparasse a questo momento “topico” da quando il Covid-19 inizió a diffondersi in Cina (quindi all’incirca da gennaio). Già da allora era facile prevedere che la clientela primaria di Zoom si sarebbe affidata maggiormente ai suoi servizi mentre era in quarantena domiciliare. Così l’azienda californiana ha iniziato a monitorare attentamente la propria capacità e ha iniziato ad ospitare sessioni di formazione gratuite.
Problema privacy
È un momento di grande importanza per Zoom, fondata nel 2011 da Eric Yuan, un ex dirigente di Cisco Systems. Il suo improvviso exploit ha però portato con sé anche nuove preoccupazioni sulla privacy, la moderazione dei contenuti, la sicurezza per i più giovani e la sensibilità alla gravità della pandemia. Il tutto condito dalla questione di mantenere il servizio attivo e funzionante in un tempo di super-fruizione del servizio. Nondimeno, ci si chiede come mai – tra le varie app di videoconferenza come Skype, Hangouts, Messenger e FaceTime – Zoom abbia così successo. Zoom è già presente in molti college e scuole americane da anni. Il layout del prodotto rende facile parlare con più persone contemporaneamente. Ed inoltre possiede alcune caratteristiche che rispecchiano l’ambiente dei social media: ad esempio “Touch Up My Appearance” permette il ritocco dell’aspetto dell’utente in videoconferenza. Secondo Paul Condra, analista tecnologico di PitchBook, la gente sceglie Zoom anche perché funziona, e l’affidabilità e semplicità di Zoom ne hanno fatto lo standard da seguire nel mondo dei software per videoconferenze. Standard che purtroppo appare sottotono in termini di privacy. Jules Polonetsky, amministratore delegato del Future of Privacy Forum, ha avvertito che i termini di servizio di Zoom includono alcune clausole che potrebbero invadere la privacy degli utenti. Per cui, come per tutti i prodotti, gli utenti dovrebbero fare attenzione ad utilizzare Zoom senza essere consapevoli di alcuni problemi di privacy che lo riguardano. Sempre Polonetsky afferma che la politica standard di Zoom sulla privacy consente di condividere i dati per il marketing mirato. E alcuni dei termini standard dell’azienda non sono coerenti con lo statunitense Family Educational Rights and Privacy Act, o FERPA, oltre ad altre norme in materia di protezione dei dati personali (GDPR). Per i lavoratori che utilizzano il software durante l’orario di lavoro, Zoom include anche una funzione in grado di tracciare alcuni aspetti del multitasking di un partecipante su un computer e di segnalarlo all’host della chiamata (ad esempio se il lavoratore è attivo o sta “facendo altro”). Una portavoce di Zoom ha affermato che questa funzione è progettata per i datori di lavoro affinché sia garantito il completamento della formazione da parte dei lavoratori, risultando disattivata per impostazione predefinita. Ma entriamo nel dettaglio dei maggiori problemi privacy riscontrati ultimamente.
Sotto esame
Da fine marzo Zoom è “sotto esame” da parte dell’ufficio del procuratore generale di New York, Letitia James, per la gestione dei dati personali degli utenti e per le sue politiche di sicurezza. Lunedì 30 marzo è stata inviata una lettera in cui si chiedeva alla società quali fossero le eventuali nuove misure di sicurezza messe in atto per gestire il recente aumento del traffico sulla propria rete, nonché per individuare eventuali falle. Mentre la lettera si riferiva a Zoom come “una piattaforma di comunicazione essenziale e di valore”, la stessa evidenziava diverse preoccupazioni, rilevando come l’azienda fosse stata lenta nell’affrontare le sue falle di sicurezza, come le vulnerabilità che potrebbero permettere a terzi malintenzionati di ottenere, tra le altre cose, l’accesso illecito alle webcam degli utenti. Nelle ultime settimane, alcuni soggetti hanno sfruttato la funzione di condivisione dello schermo di Zoom per “dirottare” le riunioni. Tale fenomeno ha preso il nome di “Zoombombing”. Le attuali misure di sicurezza di Zoom potrebbero non essere sufficienti per far fronte alla recente ed improvvisa impennata sia del volume che della sensibilità dei dati che passano attraverso la sua rete. Tuttavia, specifica il procuratore generale, anche se Zoom ha recentemente rimediato tappando le falle di sicurezza segnalate, è necessario capire se abbia intrapreso o meno una revisione più ampia delle sue politiche di sicurezza. Con milioni di americani (ma la questione è estensibile al mondo) costretti a rifugiarsi a casa a causa del Covid-19, le riunioni online sono diventate rapidamente un pilastro della comunicazione per le aziende, le scuole pubbliche e le famiglie.
Parola a Zoom
Nel rispondere al New York Times, Zoom ha dichiarato di prendere “estremamente sul serio la privacy, la sicurezza e la fiducia dei suoi utenti”, e di aver “lavorato 24 ore su 24 per garantire che ospedali, università, scuole e altre aziende in tutto il mondo potessero rimanere connessi e operativi”. Sempre l’azienda di San Josè ha dichiarato di apprezzare l’impegno del procuratore generale di New York, restando a disposizione per fornire le informazioni richieste. La settimana scorsa, dopo che un articolo sul sito di notizie Motherboard ha riferito che un software all’interno dell’app per iPhone stava inviando i dati degli utenti a Facebook, l’azienda ha detto che avrebbe rimosso il software di tracciamento. Molti distretti scolastici hanno adottato Zoom per consentire agli insegnanti di ospitare lezioni dal vivo con gli studenti, ma alcuni esperti di privacy si sono detti particolarmente preoccupati di come potrebbero essere utilizzati i dati personali dei bambini. Infatti alcuni distretti hanno proibito agli educatori di usare Zoom come piattaforma di apprendimento a distanza. Per aiutare gli educatori, l’azienda ha recentemente ampliato i limiti di collegamento di più persone sugli account gratuiti. L’ufficio del procuratore ha definito tali sforzi lodevoli, ma ha anche detto che la società sembra cercare di scaricare i requisiti relativi al consenso sulle scuole. L’ufficio ha quindi richiesto una descrizione della politica di Zoom per ottenere e verificare il consenso nelle scuole primarie e secondarie, nonché una descrizione di terzi che hanno ricevuto dati relativi ai bambini. Zoom ha dichiarato che il suo servizio per le scuole è conforme alle leggi federali USA sulla privacy educativa e sulla privacy degli studenti. La lettera chiedeva anche dettagli su eventuali modifiche che l’azienda avesse messo in atto, relativamente per la falla che permetteva agli hacker di impossessarsi delle webcam degli utenti. L’azienda ha aggiornato la sua privacy policy qualche giorno fa.
Parola al Washington Post
Secondo un rapporto del Washington Post, migliaia di registrazioni di Zoom sono state esposte sul web a causa del modo in cui l’azienda californiana denomina le sue registrazioni. Le registrazioni sono apparentemente denominate in modo identico e molte sono state postate su servizi non protetti di Amazon Web Services (AWS), rendendo possibile trovarle attraverso una semplice ricerca online. Secondo la testata giornalistica, un motore di ricerca in grado di effettuare una ricerca attraverso lo spazio di archiviazione nel cloud ha rivelato più di 15.000 registrazioni di Zoom. A quanto pare, migliaia di registrazioni sono state caricate anche su YouTube e Vimeo. Da Zoom hanno affermato che l’app notifica ai partecipanti quando un ospite sceglie di registrare una riunione, e fornisce un modo sicuro e protetto per gli ospiti di memorizzare le registrazioni. Sempre Zoom afferma che le riunioni vengono registrate a scelta dell’host localmente ovvero nel cloud di Zoom. Se in seguito l’host dovesse scegliere di caricare le registrazioni del meeting in un altro luogo, Zoom lo “inviterebbe” a usare estrema cautela e ad essere trasparente con i partecipanti al meeting, valutando attentamente se il meeting contiene informazioni sensibili e tenendo conto delle ragionevoli aspettative dei partecipanti. Qualche giorno fa è stato corretto l’installazione macOS “malware-like”, applicando una patch di sicurezza ad una vulnerabilità di Windows e LinkedIn, sospendendo l’integrazione di Zoom che ha esposto alcuni profili LinkedIn. L’azienda si è anche impegnata ad un congelamento delle funzionalità per 90 giorni per concentrarsi sulla risoluzione dei problemi di privacy e sicurezza.
Houseparty
Infine, concludiamo accennando ad un altro fronte caldo, ossia l’app Houseparty, la quale ha registrato un boom di popolarità nelle ultime due settimane. Alcuni esperti dicono che gli utenti potrebbero inavvertitamente condividere più dati personali di quanto non si rendano conto. Ray Walsh di ProPrivacy ha affermato che chiunque decida di utilizzare l’app Houseparty per rimanere in contatto con i propri cari o amici durante la quarantena deve essere consapevole che tale app raccoglie una quantità preoccupante di dati personali, tra i quali dati di geolocalizzazione usati per mappare la posizione di ogni utente. Houseparty, lanciata nel 2016, ha registrato 2 milioni di download verso la fine di marzo, diventando particolarmente popolare tra gli adolescenti che utilizzano la sua struttura informale e i giochi per socializzare in questo periodo. Oltre ai dati di geolocalizzazione gli esperti sono preoccupati per la raccolta di dati dovuti al collegamento dell’account Houseparty a qualsiasi altro account di social media che possa ulteriormente raccogliere dati dagli utenti. ProPrivacy sottolinea che vi possa essere la possibilità che il governo degli Stati Uniti possa iniziare a sorvegliare l’app a causa del suo uso della geolocalizzazione e della sua popolarità. Gehan Gunasekara, professore associato di diritto commerciale all’Università di Auckland (Nuova Zelanda), ha affermato che Houseparty funziona come un cavallo di Troia, poiché l’utente permetterebbe all’app di accedere allo smartphone, carpendo i movimenti, i luoghi frequentati, i contatti, la frequenza di contatto delle persone, con chi si comunica ecc. tracciando ogni spostamento dell’utente. Per Suzanne Vergnolle della Sorbona di Parigi Houseparty probabilmente non è neanche conforme al GDPR, in quanto l’app tiene traccia degli utenti per impostazione predefinita e le richieste di cancellazione dei dati potrebbero non essere “soddisfatte”. Sempre Vergnolle ha aggiunto che Houseparty non aggiorna la propria privacy policy dal giugno 2018. Nel giugno 2019 Houseparty è stata acquistata da Epic Games, creatori del popolare gioco Fortnite. L’amministratore delegato di Houseparty, Sima Sistani, all’epoca disse di avere una visione comune per rendere l’interazione umana più facile e piacevole, e sempre nel rispetto della privacy degli utenti. Ma Epic Games è stata in precedenza sotto la lente di ingrandimento per questioni di privacy. Secondo il sito web open-source di tracciamento della privacy PrivacySpy, Epic Games ha una triste valutazione di 2,3 su 10 per le sue pratiche in materia di trattamento dati personali, tra cui il fatto di consentire l’accesso di terzi ai dati personali, e di non notificare agli utenti violazioni di dati personali che li riguardano. Fortunatamente, non è difficile per gli utenti “mitigare” le impostazioni privacy di Houseparty. ProPrivacy ha notato che gli utenti possono semplicemente disattivare i dati di localizzazione e rendere private tutte le chat room.
Protezione dai rischi
Come mettersi al riparo da questi rischi? Un consiglio, ricorrente, può essere quello di usare applicativi che hanno dietro aziende più strutturate, abituate a ragionare in termini di privacy by design/default, come Microsoft Teams, Skype (sempre di MS), Google Hangouts Meet.
Ma alcuni potrebbero trovarle limitate rispetto alla capacità di Zoom di ospitare così tante persone in contemporanea ed ai suoi strumenti di smart working/e-learning.
Comment here