Политики безопасности Zoom: обзор

Во время пандемии спрос на платформы для видеоконференций возрос. Они позволяют сотрудникам созваниваться и обсуждать насущные дела компании. Персонал часто затрагивает информацию, которую не следует передавать третьим лицам. К сожалению, не все платформы отличаются заботой о безопасности своих пользователей. Важно понимать, какие меры для защиты информации они принимают. В этот раз Аналитический отдел Falcongaze рассмотрел политики безопасности платформы Zoom. Приятного чтения!

Клиент Zoom подключается к серверам компании через безопасное соединение https.

Платформа использует симметричные и ассиметричные алгоритмы шифрования. Ключи для сеанса генерируются с использованием ID аппаратного обеспечения устройства. Это препятствует считыванию данных с других устройств. А чаты шифруются так, чтобы прочитать сообщение мог только получатель.

Zoom также шифрует весь медиа-контент (аудио, видео, совместное использование экрана) на уровне приложения, используя AES (Advanced Encryption Standard). Остальные данные шифруются по стандарту TLS. Это касается и взаимодействия в Zoom Rooms – используется тот же стандарт. Важно, что шифрование теперь доступно для всех пользователей, а не только для оплативших премиум-аккаунт.

В Zoom есть функция двухфакторной аутентификации. Второй слой защиты представляет собой либо одноразовый код, либо текстовое сообщение. Организаторы конференций могут потребовать от пользователей использования 2FA.

В отношении пользовательских данных компания руководствуется двумя принципами:

• Zoom не продает личные данные, несмотря на то, кто пользуется платформой: бизнесмен, школа или рядовой пользователь;
• Zoom не использует пользовательские данные для рекламы. Используется только та информация, которую компания получает, когда пользователь посещает веб-сайты компании (zoom.us, например). При этом пользователь может менять настройки файлов cookie по своему усмотрению.

Тем не менее весной-летом 2020 года Zoom критиковали за ложь об использовании сквозного шифрования. Компания уверяла, что все видеовызовы шифруются, но исследователи выяснили, что такой функции по умолчанию нет. Тогда компания пообещала решить проблему.

Сквозное шифрование не хотели внедрять, потому что оно мешает отслеживать пользователей, которые злоупотребляют платформой это связано с распространением детской порнографии, жестокостью и т.д.). Поэтому наряду с функцией шифрования, внедрили и алгоритмы машинного обучения, которые сканируют видеозвонки на предмет присутствия в камере обнаженных тел и признаков жесткого обращения.

Кстати, мы недавно публиковали статью про политики безопасности Skype. Как все-таки думаете, какая платформа надежнее: Skype или Zoom?