Die FTC kündigte eine umfassende Einigung mit Zoom über viele angebliche Sicherheitsmängel an. Im Rahmen der Vereinbarung gibt Zoom keine der Anschuldigungen zu oder bestreitet sie.

Zu den Vorwürfen von Sicherheitsproblemen gehören auffällige Sicherheitslücken wie das Speichern privater Aufzeichnungen in unverschlüsseltem Cloud-Speicher und das Fehlen einfacher Brute-Force-Anmeldeminderungsstrategien.

Die Vereinbarung sieht vor, dass Zoom Änderungen vornimmt, um die Sicherheit zu verbessern.

Einige der Änderungen sind unglaublich grundlegend, wie das Verringern des Erraten von Brute-Force-Passwörtern, sodass sich eine Person fragt, ob Zoom Ressourcen für die Benutzersicherheit verwendet hat.

Einige der wichtigsten Vorwürfe gegen Zoom sind:

Irregeführte Benutzer auf SicherheitsstufeUnverschlüsselte Speicherung von Aufzeichnungen in CloudBypassed Safari Browser-Sicherheit Erhöhtes Risiko der VideoüberwachungDezeptive Software-Release-Benachrichtigungen

Falsches Sicherheitsgefühl

In der FTC-Beschwerde wird behauptet, Zoom habe Praktiken praktiziert, die den Verbrauchern ein falsches Sicherheitsgefühl verliehen.

Laut FTC:

„In zahlreichen Blog-Posts hat Zoom seine Verschlüsselungsstufe ausdrücklich als Grund für Kunden und potenzielle Kunden angepriesen, die Videokonferenzdienste von Zoom zu nutzen.

Andrew Smith, Direktor des FTC-Büros für Verbraucherschutz. “Die Sicherheitspraktiken von Zoom entsprachen nicht den Versprechen. Diese Aktion trägt dazu bei, dass Zoom-Besprechungen und Daten zu Zoom-Benutzern geschützt werden.”

Zoom soll das Risiko einer Videoüberwachung erhöht haben

In der vielleicht beunruhigendsten Behauptung sagte die FTC, dass Zooms Sicherheitsansatz die Möglichkeit erhöht, dass Fremde auf private Videos zugreifen können.

Die FTC behauptet:

„… Zoom hat keine Ausgleichsmaßnahmen zum Schutz der Sicherheit der Benutzer implementiert und das Risiko der Benutzer für die Videoüberwachung durch Fremde erhöht. Die Software blieb auch nach dem Löschen der Zoom-App auf den Computern der Benutzer und installierte die Zoom-App unter bestimmten Umständen automatisch – ohne Benutzeraktion – neu.

In der Beschwerde wird behauptet, dass Zooms Einsatz des ZoomOpener ohne angemessene Ankündigung oder Zustimmung des Benutzers unfair war und gegen das FTC-Gesetz verstieß. “

Irregeführte Benutzer zur Sicherheit

Die FTC behauptete, Zoom habe Benutzer belogen, als sie den Benutzern eine „End-to-End-256-Bit-Verschlüsselung“ versicherte, obwohl Zoom tatsächlich eine geringere Verschlüsselung verwendete. End-to-End-Verschlüsselung ist, wenn die gesendeten Daten an jedem Ende sicher sind und nur die Benutzer auf die Informationen zugreifen können.

Die FTC behauptet, dass dies überhaupt nicht der Fall war, dass Zoom in private Zoom-Meetings einbrechen konnte und dass der Datenschutz niedriger war als für .

Unverschlüsselter Cloud-Speicher

Die vielleicht überraschendste Behauptung gegen Zoom ist, dass private Videos unverschlüsselt in der Cloud gespeichert wurden.

Dies ist, was die FTC-Beschwerde behauptete:

„Zoom hat auch einige Benutzer in die Irre geführt, die aufgezeichnete Besprechungen im Cloud-Speicher des Unternehmens speichern wollten, indem sie fälschlicherweise behaupteten, diese Besprechungen seien unmittelbar nach Beendigung der Besprechung verschlüsselt worden.

Stattdessen wurden einige Aufzeichnungen angeblich bis zu 60 Tage lang unverschlüsselt auf den Servern von Zoom gespeichert, bevor sie in den sicheren Cloud-Speicher übertragen wurden. “

Vorgeschlagene Vereinbarung der FTC

Der FTC-Vorschlag enthält viele sicherheitsrelevante Aktivitäten, denen Zoom entsprechen muss. Alle scheinen ziemlich einfach und vernünftig zu sein.

Hier ist eine Übersicht über die Sicherheitsanforderungen:

Jährliche SicherheitsbewertungEntwickeln Sie Möglichkeiten zum Schutz vor SicherheitsrisikenErstellen Sie ein SchwachstellenmanagementprogrammErstellen Sie Richtlinien zum Schutz vor Online-AngriffenErstellen Sie Schutzmaßnahmen gegen unbefugten Zugriff auf die NetworkBiennial-Sicherheitsbewertungen von Drittanbietern

Hacker-Schutz

Einige der erforderlichen Aufgaben scheinen so grundlegend zu sein, dass man sich fragen muss, warum Zoom diese Funktionen zunächst nicht hatte. Eine der Funktionen ist beispielsweise die Ratenbegrenzung bei Anmeldeversuchen.

Bei der Ratenbegrenzung wird erkannt, wann ein Softwareprogramm namens Bot schnell Webseiten anfordert, und diese von der Website blockiert. Durch das Blockieren dieser Art von Bots wird verhindert, dass sie versuchen, das Kennwort zu erraten.

Viele Web-Content-Management-Systeme enthalten verschiedene Formen der Ratenbegrenzung oder können diese mit einem Plugin haben. Es ist also sehr überraschend, dass Zoom erforderlich sein muss, um dies zu verwenden. Dies ist eine Art Sicherheitsstufe 101, die alle Websites haben sollten.

In der Open-Source-Forensoftware phpBB ist beispielsweise eine grundlegende Ratenbegrenzung integriert, mit der Anti-Spambot-Maßnahmen nach einer festgelegten Anzahl von Anmeldeversuchen aktiviert werden können.

WordPress-Publisher verfügen über eine Vielzahl von Plugins, mit denen die Häufigkeit begrenzt werden kann, mit der ein Bot versuchen kann, ein Kennwort zu erraten und den Zugriff auf die Website zu blockieren.

Die FTC fordert Zoom auf, Richtlinien zum Schutz vor Online-Angriffen (z. B. Angriffe zum Erraten von Passwörtern) festzulegen, indem Zoom-Benutzer sichere Passwörter verwenden müssen, um Bot-Identifizierungsverfahren zu verwenden, um Hacker daran zu hindern, die Anmeldung anzugreifen, Anmeldeversuche zu begrenzen und zu erzwingen Das Kennwort wird zurückgesetzt, wenn Anmeldeinformationen gefährdet sind.

Alle oben genannten Maßnahmen sind angemessene Anti-Hacking-Maßnahmen.

Richten Sie ein Vulnerability Management-Programm ein

Die FTC-Vereinbarung sieht außerdem vor, dass Zoom proaktive Sicherheitsmaßnahmen wie einen vierteljährlichen Sicherheitsscan einleitet und außerdem eine Sicherheitsbewertung und Stresstests durch Dritte durchführt. Stresstests werden durchgeführt, wenn ein Sicherheitsunternehmen die Site auf Sicherheitsprobleme überprüft und prüft.

So beschreibt die FTC den vierteljährlichen Scan:

“Durchführung von Schwachstellen-Scans der Netzwerke und Systeme des Befragten mindestens vierteljährlich …”

Zoom stimmt zu, um Benutzer von nun an zu schützen

Insgesamt verlangt die Vereinbarung, dass Zoom mit angemessenen sicherheitsrelevanten Aufgaben und Aktivitäten beginnt.

In Anbetracht der Tatsache, dass Zoom von Unternehmen verwendet wird, für die Sicherheit von entscheidender Bedeutung ist, sowie von Verbrauchern, die Datenschutz erwarten, sollten diese Maßnahmen einen großen Beitrag zur Verhinderung einer schwerwiegenden Sicherheitsverletzung leisten, die für Zoom und ihre Kunden von Vorteil ist.

„Zoom hat einer Verpflichtung zur Einrichtung und Implementierung eines umfassenden Sicherheitsprogramms, eines Verbots von Datenschutz- und Sicherheitsfehlern sowie weiterer detaillierter und spezifischer Erleichterungen zum Schutz seiner Nutzerbasis zugestimmt, die von 10 Millionen im Dezember 2019 auf 300 Millionen im April in die Höhe geschossen sind 2020 während der COVID-19-Pandemie. “

Zitat

Offizielle Ankündigung der Federal Trade Commission (FTC)

FTC benötigt Zoom, um seine Sicherheitspraktiken im Rahmen der Abrechnung zu verbessern

Quelle

Erzählen Sie Ihren Freunden davon: