Zoom заключил мировое соглашение по поводу введения пользователей в заблуждение

Сервис видеоконференцсвязи Zoom заключил соглашение с Федеральной торговой комиссией США (FTC). Ведомство обвиняло компанию в том, что она вводило пользователей в заблуждение относительно функций безопасности.

Фото: Pixabay

В Федеральной торговой комиссии заявили, что в этом году, в разгар пандемии COVID-19 , Zoom привлекал пользователей к своей платформе заявлениями о том, что её продукт поддерживает «сквозное 256-битное шифрование» и что его сервис будет хранить записанные звонки в зашифрованном формате.

Однако следователи FTC обнаружили, что утверждения Zoom были ложными.

Ведомство выяснило, что, несмотря на заявления о поддержке вызовов с сквозным шифрованием (E2EE), Zoom не поддерживает вызовы E2EE в классическом значении этого слова.

Вызовы E2EE основываются на установлении вызова между двумя пользователями и сохранении криптографического ключа, используемого для шифрования вызова на устройствах этих двух пользователей.

Но FTC сообщает, что Zoom также хранил копию ключа для себя, что позволяло ему перехватывать сообщения всех своих клиентов.

В FTC также обнаружили, что записанные звонки хранились в незашифрованном виде на серверах Zoom до 60 дней, прежде чем были зашифрованы и переданы на защищённый сервер. В это время Zoom и другие стороны могли получить доступ к контенту пользователей.

«Вводящие в заблуждение заявления Zoom дали пользователям ложное чувство безопасности, [...] особенно для тех, кто использовал платформу компании для обсуждения деликатных тем, таких как здоровье и финансовая информация», — говорится в пресс-релизе FTC .— «В многочисленных сообщениях в блогах Zoom специально рекламировал свой уровень шифрования как причину, по которой клиенты и потенциальные клиенты могут использовать услуги видеоконференцсвязи Zoom».

Согласно предлагаемому урегулированию, Zoom запрещается искажать информацию о своих методах обеспечения конфиденциальности и безопасности, в том числе о том, как он собирает, использует, поддерживает или раскрывает личную информацию; его защитные функции; и степень, в которой пользователи могут контролировать конфиденциальность или безопасность своей личной информации, говорится в заявлении ведомства.

Кроме этого, Zoom должен каждые два года получать оценку своей программы безопасности от независимой третьей стороны, которую FTC имеет право утверждать, и уведомлять Комиссию в случае утечки данных.

Как сообщал Startpack, Zoom начал внедрение сквозного шифрования (E2EE) как для бесплатных, так и для платных пользователей в конце октября 2020 года.