Zoom loog maandenlang over de sterkte van zijn beveiliging. De videodienst heeft daar nu een schikking over getroffen met de Amerikaanse consumentenwaakhond FTC.
De Federal Trade Commission, de Amerikaanse mededingingsautoriteit, startte eerder dit jaar een onderzoek naar mogelijk misleidende beweringen van Zoom omtrent zijn securitymaatregelen. Het videobelplatform, dat gigantisch in populariteit steeg tijdens de eerste lockdown begin dit jaar, heeft lang beweerd dat videogesprekken end-to-end versleuteld werden. Dat was echter niet zo.
Zoom bood begin dit jaar TLS-encryptie of ‘transport encryption’ aan. Daarbij is de verbinding tussen de eindpunten (de computers of smartphones van de deelnemers) en de servers van Zoom versleuteld. In principe kan Zoom dan wel die gegevens zien wanneer ze over hun eigen servers lopen. End-to-end encryptie is strenger. Hier worden de gegevens versleuteld op jouw computer en pas ontsleuteld eens ze bij de geadresseerde aankomen. Het bedrijf dat de dienst levert en over wiens servers ze loopt, kan daarbij de berichten niet inzien.
‘Misleidende reclame’
De reden dat Zoom zijn encryptie ‘end-to-end’ noemde, was in maart volgens een woordvoerder omdat het bedrijf de eigen servers als ‘end points’ zien. Dat is niet hoe de rest van de wereld die definieert: over het algemeen zijn de eindpunten de toestellen van de gebruiker, niet de server van de dienst die daartussen zit.
Volgens de FTC komt Zooms eerdere bewering van end-to-end encryptie dus neer op misleidende reclame, die bovendien de veiligheid van gebruikers kan ondermijnen omdat het hen een vals gevoel van veiligheid biedt. De schikking tussen FTC en Zoom bevat geen boete, maar gebiedt het bedrijf wel om stappen te nemen die de problemen verhelpen. Zoom krijgt ook het verbod om zijn privacy- en securitymaatregelen fout voor te stellen. Een onderzoeker van een derde partij moet de beveiliging van het platform jaarlijks doorlichten.
Zoom is sinds de schandalen in het voorjaar begonnen met het uitrollen van extra beveiligingsvoorzieningen en biedt ondertussen echte end-to-end encryptie aan voor meetings tot 200 deelnemers. De huidige schikking zou dus niet veel extra gevolgen met zich meebrengen.
Fout opgemerkt of meer nieuws? Meld het hier