Zoom признает, что некоторые звонки были направлены через Китай по ошибке

zoom video

Спустя несколько часов после того, как исследователи безопасности из Citizen Lab сообщили, что некоторые звонки Zoom были направлены через Китай, платформа видеоконференцсвязи предложила извинения и частичное объяснение.

Напомним, что на этой неделе Zoom столкнулся с целым шквалом заголовков о своей политике безопасности и практике конфиденциальности, поскольку сотни миллионов людей, вынужденных работать из дома во время пандемии коронавируса, все еще нуждаются в общении друг с другом.

Последние результаты были получены ранее сегодня, когда исследователи Citizen Lab заявили, что некоторые звонки, сделанные в Северной Америке, были направлены через Китай — как и ключи шифрования, используемые для защиты этих звонков. Но, как было отмечено на этой неделе, Zoom вообще не является сквозным шифрованием, несмотря на предыдущие заявления компании, а это означает, что Zoom контролирует ключи шифрования и поэтому может получить доступ к содержимому звонков своих клиентов. Zoom сказал в своем предыдущем блоге, что он » внедрил надежные и проверенные внутренние средства контроля для предотвращения несанкционированного доступа к любому контенту, которым пользователи делятся во время встреч.” Однако то же самое нельзя сказать о китайских властях, которые могут потребовать от Zoom передать любые ключи шифрования на своих серверах в Китае, чтобы облегчить расшифровку содержимого зашифрованных звонков.

Теперь Zoom говорит, что во время своих усилий по наращиванию мощности своих серверов, чтобы приспособить массовый приток пользователей за последние несколько недель, он “ошибочно” позволил двум своим китайским дата-центрам принимать вызовы в качестве резервной копии в случае перегрузки сети.

От генерального директора Zoom Эрика Юаня:

Во время обычных операций клиенты Zoom пытаются подключиться к ряду первичных центров обработки данных в регионе пользователя или рядом с ним, и если эти множественные попытки подключения завершаются неудачей из-за перегрузки сети или других проблем, клиенты будут обращаться к двум вторичным центрам обработки данных из списка нескольких вторичных центров обработки данных в качестве потенциального резервного моста к платформе Zoom. Во всех случаях клиентам Zoom предоставляется список центров обработки данных, соответствующих их региону. Эта система имеет решающее значение для надежности торговой марки Zoom, особенно во время массовых интернет-стрессов.”

Другими словами, североамериканские звонки должны оставаться в Северной Америке, так же как европейские звонки должны оставаться в Европе. Это то, что Zoom называет своим центром обработки данных «геозона».»Но когда трафик резко возрастает, сеть перемещает трафик в ближайший центр обработки данных с наиболее доступной пропускной способностью.

Китай, однако, должен быть исключением, главным образом из-за проблем конфиденциальности среди западных компаний. Но собственные законы и правила Китая предписывают компаниям, работающим на материке, хранить данные граждан в пределах своих границ.

Zoom заявил в феврале, что “быстро добавленные мощности” в его китайских регионах для обработки спроса также были включены в международный белый список резервных центров обработки данных, что означало, что некитайские пользователи в некоторых случаях подключались к китайским серверам, когда центры обработки данных в других регионах были недоступны.

Зум сказал, что это произошло в “крайне ограниченных обстоятельствах.” Когда он был достигнут, представитель Zoom не дал количественной оценки количеству затронутых пользователей.

Zoom сказал, что теперь он отменил этот неправильный белый список. Компания также заявила, что пользователи специального правительственного плана компании не пострадали от случайного перенаправления.

Но некоторые вопросы остаются. Сообщение в блоге лишь вкратце касается его конструкции шифрования. Citizen Lab раскритиковала компанию за то, что она “запустила свое собственное” шифрование — иначе известное как создание собственной схемы шифрования. Эксперты уже давно отвергают попытки компаний создать свое собственное шифрование, потому что оно не подвергается такой же тщательной проверке и экспертной оценке, как десятилетние стандарты шифрования, которые мы все используем сегодня.

Zoom заявил в свою защиту, что он может “сделать лучше” на своей схеме шифрования, которая, по его словам, охватывает “большой диапазон вариантов использования».»Zoom также сказал, что он консультировался с внешними экспертами, но когда его спросили, представитель отказался назвать кого-либо.

Билл Марчак, один из исследователей Citizen Lab, который написал сегодняшний отчет, сказал TechCrunch, что он “осторожно оптимистичен” в отношении реакции Zoom.

«Самая большая проблема здесь заключается в том, что Zoom, по-видимому, написала свою собственную схему шифрования и защиты звонков, — сказал он, — и что” в Пекине есть серверы Zoom, которые имеют доступ к ключам шифрования собраний.”

“Если вы хорошо обеспеченная организация, то получить копию интернет-трафика, содержащего какой-то особенно ценный зашифрованный зум-вызов, возможно, не так уж трудно”, — сказал Маркак.

«Огромный переход на такие платформы, как Zoom во время пандемии COVID-19, делает такие платформы привлекательными целями для многих различных типов разведывательных служб, а не только для Китая”, — сказал он. «К счастью, компания (до сих пор) ударила по всем правильным нотам в ответ на эту новую волну пристального внимания со стороны исследователей безопасности и взяла на себя обязательство внести улучшения в свое приложение.”

Запись в блоге Zoom получает очки за прозрачность. Но компания все еще сталкивается с давлением со стороны генерального прокурора Нью-Йорка и двух коллективных исков. Только сегодня несколько законодателей потребовали знать, что он делает для защиты конфиденциальности пользователей.

Прежде чем подать в суд на NSO Group, Facebook якобы искал их программное обеспечение, чтобы лучше шпионить за пользователями
Фото знаменитостей - Кэти Перри - фотосессия для журнала H&M

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *