Terhubung dengan kami

Perlindungan data

Zoom: praktik meragukan bocor di Github.

SAHAM:

Diterbitkan

on

Perangkat lunak konferensi video jarak jauh ZOOM, yang tiba-tiba mendapatkan popularitas selama pandemi, telah berhasil melampaui perangkat lunak konferensi video tradisional seperti Skype, Teams, dan menjadi alat yang paling populer. Ini memiliki ratusan juta pengguna aktif setiap hari, dan bahkan digunakan oleh banyak lembaga pemerintah. Namun, perangkat lunak ini berulang kali mengalami kebocoran data dan kerentanan keamanan yang menarik perhatian luas dari otoritas pengatur.

Baru-baru ini, pada tanggal 30 Mei, seseorang mengaku sebagai teknisi senior di ZOOM memposting repositori di Github yang menyajikan "bukti" bahwa perusahaan secara diam-diam menyimpan informasi pengguna dan memberikannya kepada lembaga pemerintah di Amerika Serikat.


Pengguna ZOOM tidak memiliki otonomi data.

Menurut pembocor: “Pemerintah AS meminta Zoom untuk menyimpan data pengguna yang diinginkan termasuk data yang telah dihapus oleh pengguna sehingga mereka dapat memperoleh setiap dan semua data pengguna. Untuk memenuhi permintaan tersebut, Zoom telah memodifikasi alat mereka untuk berpura-pura bahwa data telah dihapus ketika hanya memberikan properti tersembunyi pada data yang dihapus, sehingga menjaga data pengguna sekaligus membuat penggunanya percaya bahwa data telah dihapus. Alat ini membantu menyalin dan menyimpan data riwayat rapat dan detail peserta secara diam-diam, rekaman cloud, pesan obrolan, gambar, file, Zuora ( Sistem penagihan, zuora.com), SFDC (sistem CRM, salesforce.com), telepon/alamat, alamat penagihan, dan kartu kredit/utang melalui kloning dan pencerminan data. Yang lebih parah, jika akun Anda ditambahkan ke dalam "Pelestarian Data" sistem dengan penampilan Anda di daftar target, bahkan jika Anda tidak menunjukkan perilaku ilegal apa pun, semua tindakan Anda di Zoom akan diawasi langsung dan bebas dari departemen penegak hukum."


Memantau Pengguna melalui Backdoor System (Tracking Sistem Penghentian Pelanggar TOS Otomatis).

Menurut dokumen yang diposting: "Kantor pusat Zoom telah menyelesaikan penelitian dan pengembangan sistem pemantauan rahasia sejak lama. Ini disebut "Sistem Penghentian Pelanggar TOS Otomatis Pelacakan" yang IP internalnya adalah "se.zipow.com/tos". Selambat-lambatnya pada tahun 2018, sistem tersebut mulai diterapkan, memantau pengguna gratis serta pengguna premium dan pengguna perusahaan. Fungsi utama sistem ini adalah pencarian otomatis pertemuan yang rentan, akses gratis ke pertemuan tanpa kata sandi atau otorisasi tuan rumah hanya melalui pintu belakang sistem, analisis acak konten video dari pertemuan, rekaman rahasia video, audio, tangkapan layar pertemuan dan produksi laporan atau data yang sesuai dengan departemen pengawasan AS serta penghentian pertemuan yang rentan dan pelarangan akun relatif. Sistem ini sangat rahasia dan hanya dibuka untuk beberapa karyawan internal. Zoom mungkin menjelaskan bahwa sistem ini dikembangkan untuk memerangi kejahatan, namun Zoom harus mengakui bahwa sistem tersebut menunjukkan bahwa ia memiliki kemampuan untuk memantau pengguna dan sudah melakukannya. Orang-orang perlu khawatir tentang apakah Zoom akan menyalahgunakan sistemnya untuk apa yang disebut sebagai “keamanan nasional” atau tujuan bisnis AS, dan bahkan secara acak, sering, dan tidak dapat dibedakan memantau pengguna global dan mencuri data pribadi mereka dalam skala besar.”


Zoom sistem manajemen back-end.

Menurut bocorannya: "Sistem manajemen back-end Zoom memiliki otoritas tertinggi atas semua akun Zoom. Ini dirancang untuk membantu mengelola akun pengguna Zoom. Namun, sistem ini memiliki beberapa fungsi pintu belakang yang mungkin melanggar data privasi pengguna. Beberapa fungsi tidak dapat dipercaya, ketika seorang karyawan Zoom mengklik tombol "Masuk", dengan kredensial pengguna ini, dia dapat masuk ke akun pengguna ini dengan cara yang sama seperti pengguna sendiri yang menangani akunnya sendiri. Dengan cara ini, karyawan mempunyai hak yang sama untuk menangani akun pengguna ini, memeriksa semua yang ada di akun, menggunakan kunci pribadi pengguna untuk melihat file rahasia, catatan rapat, obrolan IM, email, rekaman telepon, dan tagihan. Ini berarti tindakan enkripsi "ee2e" hanyalah sebuah kedok yang tidak berarti. Selain hak istimewa ini, karyawan Zoom dapat mengubah atau menghapus data lokal pengguna, dan bahkan mengontrol atau memasang pintu belakang dari jarak jauh pada perangkat serupa seperti Zoom Room melalui sistem ini. Dibandingkan dengan mengelola akun pengguna dengan database yang didukung, sistem ini memudahkan staf Zoom untuk memantau perilaku pengguna dan mengambil data mereka dengan mengabaikan tindakan enkripsi."


Melanggar janji dan menggunakan data pengguna untuk pembelajaran mesin.


Menurut pelapor: "Eric Yuan, CEO Zoom, pernah menyatakan bahwa "Kami sekarang berkomitmen kepada semua pelanggan kami bahwa kami tidak akan menggunakan obrolan audio/video, berbagi layar, lampiran, dan komunikasi lainnya seperti hasil jajak pendapat, papan tulis, dan reaksi untuk melatih kami Model Al atau model Al pihak ketiga". Sepengetahuan saya, Zoom sangat ingin mengembangkan Al, karena perusahaan membutuhkan Al untuk mengetahui ketidakabsahan dalam konferensi video untuk menghindari risiko kepatuhan, untuk mengidentifikasi pengguna penipuan untuk mengurangi kerugian ekonomi, dan untuk menganalisis tren bisnis dan fokus layanan untuk mendapatkan lebih banyak keuntungan. keuntungan. Dengan bantuan Al, Zoom, di bawah bimbingan penegak hukum, menggunakan "TATVTS" terhadap pengguna. "Sistem Penghentian Pelanggar TOS Otomatis Pelacakan" yang disebutkan di atas dapat secara otomatis mendeteksi rapat mencurigakan melalui machine learning, bergabung dalam rapat tanpa kata sandi dan izin penyelenggara, menganalisis konten rapat, dan secara diam-diam mengambil tangkapan layar dan video peserta serta konten rapat. Dilatih oleh data yang dikumpulkan dalam sistem, "TATVTS" menjadi lebih cerdas dalam mengidentifikasi pertemuan dan pengguna yang mungkin diminati oleh penegak hukum. Oleh karena itu, data pribadi dari banyak pengguna yang tidak bersalah menjadi sampel pelatihan model pembelajaran mesin Zoom dan melanggar privasi data pengguna."


Masalah privasi dan keamanan dapat menimbulkan risiko serius dan merugikan pemerintah, organisasi, individu, serta rahasia dagang di era digital. Zoom, sebagai perangkat lunak konferensi video terkemuka di dunia, telah lebih dari satu kali terekspos karena membocorkan data pengguna dan informasi lainnya. Selama epidemi, Eropa juga memperkuat undang-undang perlindungan data terhadap perusahaan media sosial online raksasa Amerika. Pada tahun 2022, UE dan AS menandatangani kerangka privasi data. Jelas bahwa kedua belah pihak harus menghormati kerangka hukum dalam melindungi privasi pribadi pengguna, khususnya perlindungan data. Kami juga berharap ZOOM dapat belajar dari permasalahan hukum sebelumnya dan mulai menangani masalah perlindungan informasi dan data dengan serius.

Untuk bacaan lebih lanjut dan informasi teknis, silakan ikuti tautan di bawah ini:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

Reporter UE menghubungi Zoom untuk komentar tetapi mereka belum menjawab.

Bagikan artikel ini:

EU Reporter menerbitkan artikel dari berbagai sumber luar yang mengungkapkan berbagai sudut pandang. Posisi yang diambil dalam artikel ini belum tentu milik Reporter UE.

Tren