זום על הכוונת של האקרים ומומחי פרטיות

השימוש באפליקציית שיחות הוידאו ZOOM נסק לאחרונה, כאשר מיליוני אנשים ברחבי העולם עברו לעבוד וללמוד מהבית בשל מדיניות הריחוק החברתי וההגבלות על יציאה מהבית שנועדו לעצור את התפשטות מגיפת הקורונה. בעקבות השימוש הגובר, תשומת לב רבה מופנית כעת לנהלי הפרטיות שזום מיישמת ביחס לשירות שלה.

זום מצהירה, הן באתר החברה והן במסמך אבטחת המידע שלה כי היא מיישמת הצפנה מקצה לקצה, אך בפועל תכני האודיו והוידאו של משתמשי השירות אינם מוצפנים מקצה לקצה אלא מוצפנים רק בעת העברת הנתונים אל השרת של זום. כלומר, בעוד שבהצפנה מקצה לקצה תוכן השיחה חשוף רק בפני המשתתפים כאשר נותן השירות חשוף אך ורק לתוכן מוצפן, ההצפנה שמיישמת זום מגנה על התוכן בזמן מעבר הנתונים בין המשתמש לשרת של זום, אך לזום יש גישה לתוכן שאיננו מוצפן. התוכן היחיד שמוצפן בפועל מקצה לקצה הוא תוכן כתוב שעובר בצ'אט של זום.

"בשיחות ועידה בוידאו יש קושי אמיתי ליישם הצפנה מקצה לקצה" מסביר מתיו גרין, פרופסור למדעי המחשב מאוניברסיטת ג'ונס הופקינס ומומחה לקריפטוגרפיה.  השירות חייב לווסת באופן אוטומטי את רמת הרזולוציה בוידאו והוא עושה זאת באמצעות מעקב אחר הצד המדבר והפניית משאבים אליו תוך הורדה של הרזולוציה אצל שאר המשתתפים. "האופטימזציה הזו קלה יותר לביצוע כאשר נותן השירות חשוף לתוכן שאינו מוצפן". זה לא בלתי אפשרי, והצפנה כזו קיימת למשל בשירות פייסטיים של אפל, אך נדרש מאמץ טכנולוגי נוסף.

בהיעדר הצפנה מקצה לקצה, זום חשופה לכל תוכן השיחות שמנוהלות דרכה, ותוכל למסור הקלטות של שיחות, אם תידרש לכך, על פי צו שיפוטי או דרישה של רשויות שלטוניות. בניגוד לחברות אחרות, כגון גוגל, פייסבוק ומיקרוסופט, המפרסמות דו"חות שקיפות המפרטים כמה דרישות כאלה נתקבלו על ידי החברה וכמה מהן נענו, זום אינה מפרסמת דו"חות שקיפות. ארגון זכויות האדם Access Now פנה לאחרונה במכתב פתוח לזום בקריאה לפרסם דו"ח שקיפות. היעדר השקיפות מצד זום מונע מהציבור את האפשרות להעריך כמה פניות החברה מקבלת, מאלו מדינות, ומהי מדיניות החברה ביחס לפניות הנ"ל.

זום מסרה בתגובה כי "החברה מתייחסת ברצינות רבה לפרטיות משתמשיה וכי היא אוספת רק את המידע הנחוץ לצורך תפעול השירות שהיא מספקת... זום מיישמת אמצעי אבטחה המגנים על פרטיות משתמשיה, לרבות מניעת גישה ישירה למידע שהמשתמשים חולקים בפגישות, לרבות וידאו, אודיו וצ'אט... זום אינה כורה מידע של משתמשיםאו מוכרת אותו לאף גורם". (מקור: The Intercept, מאת: מיכה לי ויעל גראור).

אתמול פרסמה החברה פוסט בבלוג באתר שלה בו היא מתנצלת על הבלבול במונחים והשימוש המוטעה במונח הצפנה מקצה לקצה. עוד צויין בפוסט כי החברה מצפינה את כל התוכן בפגישות בהן כל המשתתפים משתמשים באפליקציה שלה ואינן מוקלטות, אך היא אינה יכולה כרגע להצפין תוכן בשיחות הנערכות באמצעות מכשירים אחרים.

בעקבות הפרסומים על בעיות האבטחה והפרטיות, חברת SpaceX, חברת הטילים של אילון מאסק, אסרה על עובדיה להשתמש בזום וביקשה מהם להשתמש בדרכי התקשרות אחרות. גם סוכנות החלל האמריקאית NASA, מלקוחותיה המרכזיים של SpaceX אוסרת על עובדיה את השימוש בזום.

נושא נוסף שעלה לכותרות בהקשר זה הוא החשיפה של שיחות זום להתפרצות של גורמים חיצוניים במה שמכונה "Zoom Bombing".ה-FBI פרסם כי קיבל דיווחים שונים על התפרצויות של גורמים עויינים לשיחות זום תוך כדי פרסום חומר פורנוגרפי או ביטויי שנאה. ה-FBI פרסם בעקבות כך הנחיות לשימוש בטוח בזום, ובין היתר, הימנעות מפרסום קישורים לשיחות במדיה החברתית, שינוי ההגדרות המאפשרות שיתוף מסך ושימוש בגרסה המעודכנת של זום הכוללת עדכוני אבטחה ומונעת חיפוש אקראי של פגישות (מקורות: Silicon Valley.com, The Jerusalem Post).