L’app per videoconferenza Zoom, che deve buona parte delle sue recenti fortune al lockdown causato in mezzo mondo dalla pandemia in corso, non smette di evidenziare vulnerabilità che mettono a repentaglio i dati personali di milioni di utenti che la stanno utilizzando per lavorare, per seguire le lezioni di scuola o semplicemente per scambiare quattro chiacchiere “vìs a vis” con parenti e amici.
L’azienda americana si fregia di un vasto ventaglio di certificazioni, di cui alcune rilevanti quanto a cyber sicurezza, privacy e compliance GDPR:
- SOC 2 (Type II)
- FedRAMP (Moderate)
- GDPR, CCPA, COPPA, FERPA and HIPAA Compliant (with BAA)
- Privacy Shield Certified (EU/US, Swiss/US, Data Privacy Practices)
- TrustArc Certified Privacy Practices and Statements
Ma tanto non basta a tenere al sicuro la piattaforma e le informazioni degli utilizzatori. E sono ormai diverse le problematiche segnalate, il cui numero è cresciuto in modo direttamente proporzionale alla diffusione dell’app (che evidentemente ha ingolosito i cyber-criminali):
- già a fine 2018 gli esperti di cybersicurezza evidenziavano come i comandi di un meeting in corso potessero essere agevolmente hackerati da terzi;
- non appena Zoom è diventato, grazie alla pandemia, lo strumento di videochat più diffuso del pianeta, è emerso che il sistema di crittografia tutto era del tutto inadeguato (qui un analisi dettagliata di The Citizenlab) costringendo il CEO di Zoom ad un’ammissione di inadeguatezza;
- il 3 aprile il Washington Post aveva reso noto di aver scoperto che migliaia di video chiamate venivano registrate da un software di Zoom e poi salvate su applicazioni online senza password accessibili e scaricabili da chiunque. Il quotidiano era riuscito facilmente ad accedere a video chiamate scolastiche (rendendo hackerabili innumerevoli nomi e volti di minorenni), sedute di telemedicina (traboccanti di dati sensibili), tutorial di estetica (compresa una dimostrazione live su come eseguire la brasilian wax), riunioni d’affari, riunioni governative e innumerevoli incontri tra privati cittadini;
- Zoom si è inoltre trovata a dover ammettere che alcune riunioni tenute dai suoi utenti non cinesi potrebbero essere state “autorizzate a connettersi a server in Cina, dove non avrebbero dovuto essere in grado di connettersi”.
Da ultimo è emerso che i dati di oltre 500.000 utenti sono finiti sul dark web, in vendita o addirittura regalati. Davanti alle crescenti preoccupazioni, con una serie di aziende (tra cui Nasa, SpaceX e Google) e pubbliche amministrazioni che ne hanno vietato l’utilizzo ai propri dipendenti, Zoom ha deciso di mostrare in pubblico il proprio impegno per risolvere le diverse problematiche e per rifarsi un immagine, ingaggiando Alex Stamos (ex manager della sicurezza di Facebook e oggi docente a Stanford) e rendendo aggiornamenti sullo stato di avanzamento dei lavori (qui l’ultimo update del 15 aprile).
Ciò detto, stamane la maestra di prima elementare della figlia dell’Amministratore di Privacy.it, ha comunicato via Whatsapp a tutti i genitori che la prevista video-lezione non si sarebbe tenuta perché “Zoom è stato hackerato”. Successivamente la scuola mandava via e-mail questa comunicazione:
Buongiorno, siamo stati avvisati dal nostro tecnico informatico dell’Istituto che pare ci sia stato un attacco hacker subito dai server di Zoom. Non sappiamo ancora di quale portata sia l’attacco subito, ma sembrerebbe mirato per danneggiare l’azienda di Zoom a favore di concorrente. Le credenziali e le mail utilizzate per gli account della scuola sono di fantasia e quindi nessun dato personale è stato perso. In giornata saranno comunicati i nuovi codici ID di ogni classe con in aggiunta una password specifica. Scusandoci per il disagio, distinti saluti la presidenza.
Inconvenienti di una società digitale in quarantena.
