Hoe videoplatform Zoom zijn beveiliging op orde heeft gekregen

Abonneer je gratis op Techzine!

Zoom groeide in 2020 in populariteit, doordat het videoconferencingplatform handige functionaliteiten biedt voor thuiswerken. Echter was Zoom niet alleen veelbesproken door de handige opties: het kampte ook met grote beveiligingsproblemen. Nog steeds werkt het bedrijf aan zijn beveiliging, maar het is inmiddels vele stappen verder.

Zoom is een van de grote samenwerkingsplatforms tijdens de pandemie. In eerste instantie kon je een linkje aanmaken voor een videoconferentie en deze met iedereen delen. Vervolgens bleek echter dat hackers gemakkelijk URL’s konden raden en hierdoor regelmatig inbraken in meetings (Zoombombing). Dat was echter slechts het topje van de ijsberg, waardoor security-experts zelfs helemaal hebben afgeraden om Zoom te gebruiken. Dat was echter aan dovemansoren gericht, want de app wist alsnog 200 miljoen actieve gebruikers per dag te krijgen. We schreven begin vorig jaar al een uitgebreid artikel over de beveiligingsproblemen bij Zoom.

Zoom aan de slag met zijn beveiliging

Helemaal aan dovemansoren waren de signaleringen overigens niet. Zoom is juist enorm door het stof gegaan om de app te verbeteren. Zeker toen aan het licht kwam dat er een spiekfunctie was ingebouwd. Hiermee kon de manager van de meeting bijhouden of de deelnemers wel goed opletten. Bovendien waren opnames van de videomeetings terug te horen, dus had Zoom zijn gebruikers veel uit te leggen. Ondertussen konden beheerders ook nog in elke meeting allerlei data van deelnemers inzien. Zoals: IP-adressen, locatie en zelfs welk besturingssysteem en apparaat er werden gebruikt per deelnemer.

Er zijn nog veel meer beveiligingsproblemen gerapporteerd en die heeft Zoom dan ook allemaal in kaart gebracht. Bepaalde functies konden gelukkig meteen worden uitgeschakeld. Echter waren er ook grotere problemen waar het bedrijf meer tijd voor nodig had. Zoom-CEO Eric Yuan bood zijn excuses aan in een blog. Hij begon met zijn team regelmatig updates te schrijven over wat er allemaal bij Zoom was verbeterd. In eerste instantie begon dat met een bevriezing van de functies voor drie maanden.

Er zijn externe experts ingehuurd om de security van Zoom te beoordelen. Er is een bug bounty-programma opgezet. Plus: er werd een wekelijkse privacy-call ingesteld waarin Yuan zo transparant mogelijk zou zijn naar zijn gebruikers. Zeker het feit dat Zoom berichten deelt met Facebook, maar ook een nogal malware-achtige manier heeft om te werken op Apple-systemen, maakte het een extra precaire zaak in een wereld waarin mensen zich steeds bewuster lijken te worden van hun privacyrechten in de online omgeving.

Beveiligingsproblemen

Hoewel er bij Zoom nogal een vergrootglas op de beveiligingsproblemen kwam te liggen, betekent dat niet dat Zoom de enige is die zijn zaakjes wat dat betreft niet goed voor elkaar heeft. Echter stapelde het bij Zoom zo op, dat er aan de bel werd getrokken. Hierdoor heeft het bedrijf juist een geweldige kans om het beter te maken. Die kans heeft het met beide handen gegrepen. Het heeft echter tijd nodig en die heeft het bedrijf genomen. In maart kwamen de meeste problemen aan het licht, hoe staat het er nu mee?

De eerste negentig dagen die Zoom nam om de beveiliging op orde te brengen, heeft het niet stilgezeten. Zoom heeft besloten geen Chinese servers meer te gebruiken en de meeting-ID’s staan niet meer in de titelbalk. Er werden in die 90 dagen maar liefst 100 nieuwe mogelijkheden ontwikkeld om Zoom veiliger en prettiger in gebruik te maken. Hiermee werd Zoombombing verleden tijd en werden alle meetings van wachtwoorden voorzien, in plaats van deze vrij toegankelijk waren. Er zijn bovendien wachtkamers gemaakt waarin mensen je moeten toelaten tot de meeting voor je er ook daadwerkelijk in komt.

De aankoop van Keybase

Hoewel concurrenten ook vaak geen end-to-end-encryptie bieden, heeft Zoom na alle kritiek het bedrijf Keybase gekocht om identiteitsmanagement te verbeteren. Het zet dus heel duidelijk en heel openlijk stappen om de beveiliging beter te maken en zijn imago op te poetsen. Zelden hebben we dit zo duidelijk gezien bij een techbedrijf, of misschien wel elke branche. Bovendien heeft het bedrijf er ook echt veel aan gedaan, waar andere bedrijven door zouden gaan met business as usual en slechts langs de zijlijn aanpassingen zouden doorvoeren.

Die pas op de plaats en die transparantie is gezien door gebruikers en beveiligingsexperts. Is het verstandig om je bedrijfsresultaten of andere vertrouwelijke informatie te delen in een videomeeting in een webbrowser zonder vpn-verbinding met kantoor? Nee. Echter is Zoom volgens experts nu wel veilig genoeg om bijvoorbeeld een sportactiviteit te streamen of een zakelijke meeting te houden waarin iets minder vertrouwelijke informatie wordt gedeeld. Zoom is en blijft erg handig: het is makkelijk in gebruik en je kunt er wel 100 mensen tegelijk op laten inloggen.

Bovendien heeft de dienst recentelijk tweestapsauthenticatie toegevoegd. Een functie waar veel vraag naar was, maar dat een grote uitdaging was om ook in de software in te bouwen. Dat is inmiddels gelukt, al blijven veel securitybedrijven aanraden om in plaats van de app juist de browserversie te blijven gebruiken. Deze is namelijk direct voorzien van de laatste updates.

Hackers weten Zoom te vinden

Er is zoveel te doen rondom Zoom, dat het ondanks de grote veranderingen in beveiliging nog steeds een geliefd doelwit is van hackers. Er zijn diverse situaties bekend waarin oplichters pogingen doen om achter je gebruikersnaam en e-mail te komen door te phishen. Het gaat dan om e-mails en sms-berichten die net echt van Zoom lijken te komen, waarin vaak staat dat je account opgeheven gaat worden en je actie moet ondernemen.

Hoewel dat helemaal om Zoom heen gaat, is het bedrijf nog niet helemaal uit de problemen. De Amerikaanse handelscommissie heeft in november aangegeven dat Zoom zijn gebruikers misleidde en er meerdere oneerlijke, bedrieglijke praktijken op nahield. Het wijst dan vooral op de neppe end-to-end-encryptie die in maart werd ontdekt, maar ook software die Zoom zonder toestemming op Macs zou installeren in eerdere jaren. Zoom moet dus nog meer doen om zijn transparantie rondom de veiligheid op orde te krijgen, want de ogen zijn bijna een jaar later nog steeds volledig op Zoom gericht.