Zoom ging al in 2019 in de fout

Zoom ging al in 2019 in de fout

Op 9 juli 2019 verscheen er een artikel in het zakenblad Forbes met de titel: Confirmed: Zoom security flaw exposes webcam Hijack risk, change settings now. In het artikel komen de bevindingen van de onderzoeker Jonathan Leitschuh aan bod. Enkele maanden daarvoor, in april 2019 was hij er achter gekomen dat Zoom bepaald niet veilig was voor zijn gebruikers. Een van zijn bevindingen was, dat de beveiligingsspecialisten van Zoom zich amper of niet bewust waren van de zwakke plekken in de software.

Een van de zwakke plekken was, dat er bij het downloaden van Zoom er automatisch een webserver in de hardware werd geplaatst. Het doel was volgens Zoom om het gebruikers gemak te verhogen. Het nadeel was volgens Leitschuh dat kwaadwillende partijen zo gemakkelijk toegang konden krijgen. Zodoende konden ze het gebruik van de webcam overnemen. Dat deden ze door de gebruikers met een link uit te nodigen om aan een bijeenkomst of vergadering te gaan deelnemen. Maar ook konden DOS-aanvallen uitgevoerd worden. Als de gebruiker de App verwijderde,bleef de webserver achter die vervolgens weer de app installeerde, waardoor het feest opnieuw kon beginnen.

De grote fout van Zoom was volgens Leitschuh het gebruik van een lokale server. Dat was in strijd met elke veiligheidsregel en stelde miljoenen gebruikers bloot aan aanvallen van buitenaf. Teleurstellend was ook dat Zoom heel lang wachtte met reageren en vervolgens weinig haast maakte om de veiligheid van de gebruiker te verbeteren. Ze boden de onderzoeker wel een zogeheten bug bounty aan, een beloning voor het blootleggen van zwakheden in de software. Maar ze vroegen hem ook om zijn mond te houden. Leitschuh stemde ermee in om Zoom 90 dagen de tijd te geven om de gebreken te verhelpen. Het duurde vervolgens bijna de volle 90 dagen voordat het zover was.

Op het moment dat het Forbes artikel verscheen moest Zoom toegeven dat de maatregelen die het genomen had, niet afdoende waren. Het waren vooral de gebruikers van de Apple Mac die het grootste veiligheidsrisico liepen. Dat werd bij Apple ervaren als een grote blamage. Hoe kon het dat er iets dat verborgen was, dat verwijderd moest worden van het Apple platform. Op 10 juli werd bekend, dat Apple zelf maatregelen had getroffen om de verborgen webserver definitief te verwijderen.

Wie denkt dat Zoom zijn lesje wel had geleerd, komt bedrogen uit. In december werd bekend, dat Cisco Systems een maand eerder in de slag was gegaan met Zoom Communications. Zoom Communications was er in geslaagd om de beveiliging van Cisco’s Video Device technologie te omzeilen, waardoor gebruikers van deze technologie soortgelijke risico’s liepen als eerder de gebruikers van de Apple Mac. Op 18 november eiste Cisco, dat Zoom actie ondernam en op 25 november 2019 kwam Zoom met een verklaring dat de veiligheidslekken gedicht waren. Opnieuw was het verweer, dat Zoom er veel waarde aan hechtte het gebruikersgemak zo groot mogelijk te maken. En opnieuw lijkt het erop, dat risico’s dan maar op de koop toegenomen moeten worden.

Verder verloop van actie ZOOM

Op dit moment zijn wij aan het werven en ontdubbelen. Ontdubbelen speelt een rol waarin individuele gebruikers zich aanmelden, die bijvoorbeeld ook al vertegenwoordigd worden via de betrokken werkgevers of onderwijsinstellingen. Daarnaast volgens wij de dagelijkse ontwikkelingen rondom Zoom op de voet.

De volgende stappen zijn op dit moment:

  • • Inventariseren van wat er gebeurd is met gebruikersdata bij Zoom
  • • Inventariseren van de grondslagen van mogelijke juridische acties
  • • Uitbreiding van deze actie binnen Europa en het leggen van contact met actievoerders buiten Europa

In opvolging hiervan zullen we onze bevindingen ook voorleggen aan de relevante toezichthouders. Het eerste nieuws op dit gebied is dat de Autoriteit Persoonsgegevens vandaag al heeft gewaarschuwd tegen het gebruik van Zoom.

Daarnaast zullen we ons richten op het verbeteren en het uitbreiden van onze websitefunctionaliteiten voor onze gebruikers.

Oproep voor Deskundigen

SOMI is een non-profit organisatie, opgericht om via onderzoek en juridische acties veranderingen te brengen waar de overheid of de individuele consumenten dat niet kunnen of willen. Voor een deel van het onderzoek en de acties is budget beschikbaar. Naast deelnemers die een bijdrage willen leveren aan het inhoudelijke technische onderzoek naar de feiten, zoeken we ook onderzoeksjournalisten of (groepen) studenten die willen meewerken aan fact finding en media voorlichting met betrekking tot actie Zoom.