Af en toe maak ik gebruik van Zoom. Ik was dan ook behoorlijk geschokt door het bericht dat Zoom helemaal niet zo veilig was. Gemak en veiligheid gingen hier dus niet hand in hand. En in deze tijd van thuiswerken is veilig online vergaderen toch zeker wel essentieel. Het zal niemand verbazen dat online vergaderen de laatste maand echt explosief is gegroeid. Afgelopen maart waren er dagelijks 200 miljoen videovergaderingen! Ter vergelijking: eind 2019 waren dat er via Zoom nog maar 10 miljoen.

End-to-end

Het probleem met Zoom is dat de vergaderingen niet end-to-end versleuteld zijn. Bij end-to-end encryptie kunnen alleen de zender en de ontvanger de versleutelde data ontcijferen. Bij een online vergadering blijven de video- en audiocontent dan privé voor de deelnemers. Bij Zoom-vergaderingen was dit dus niet het geval. De vergaderingen waren wel beveiligd tegen afluisteren op jouw eigen netwerk. Maar de servers van Zoom hadden toegang tot de onversleutelde audio- en videocontent en waren daarmee onvoldoende beveiligd.

Het nieuwsplatform The Intercept bracht dit nieuws op 31 maart 2020 naar buiten. Natuurlijk vroegen zij Zoom naar een reactie. Zoom reageerde als volgt: “Momenteel is het niet mogelijk om E2E-versleuteling in te schakelen voor Zoom-videovergaderingen. Zoom-videovergaderingen gebruiken een combinatie van TCP en UDP. TCP-verbindingen worden gemaakt met TLS en UDP-verbindingen worden gecodeerd met AES met behulp van een sleutel, waarover via een TLS-verbinding wordt onderhandeld.”

Kortweg betekent dit dat Zoom een transportversleuteling gebruikt en geen end-to-end versleuteling. Het verschil zit erin dat de Zoom-service zelf toegang heeft tot de niet-versleutelde video- en audiocontent van Zoom-vergaderingen.

Is dat dan erg?

Ja, dat is erg! Want hierdoor is het dus mogelijk om toegang te krijgen tot niet-versleutelde Zoom-vergaderingen. De afgelopen dagen vielen geregeld ‘mensen’ binnen tijdens vergaderingen of colleges via Zoom. Internetvandalen verspreidden porno of verstoorden op andere manieren besprekingen.

Wat ook kwalijk is, is dat Zoom tot voor kort informatie doorgaf aan Facebook, zonder dat expliciet te vermelden. In Californië wordt het bedrijf hiervoor aangeklaagd, zo schrijft het FD op 7 april 2020. Zoom is hier nu weer mee gestopt.

En nu?

De topman van Zoom heeft in een blog inmiddels beterschap beloofd. Het bedrijf heeft de belangrijkste privacylekken gedicht en investeert nu fors in de verbetering van veiligheid van de gebruikers.

Verder is het natuurlijk ook aan ons om op te letten. Zo bleek het onverstandig om ‘meeting-id’s’ met iedereen te delen. De Britse premier Boris Johnson ging hiermee in de fout. Hij deelde een screenshot van een vergadering met het parlement, inclusief meeting-id. Deze zag ik al meerdere malen online voorbijkomen met de uitnodiging om ook deel te nemen.

Gelukkig hebben wij onze wet- en regelgeving en de Autoriteit Persoonsgegevens, die ondernemingen bij dit soort onvolkomenheden op de vingers tikt. En ondertussen blijft ons eigen gedrag en het privacybeleid van uw organisatie even belangrijk als altijd. Twijfelt u hierover? Lees dan de tips in onze blog ‘Is uw privacybeleid op orde?’ nog eens door!

 

Heeft u vragen over de AVG, het in kaart brengen van datastromen, de impact of de invulling van ISO27001 of de rol van Functionaris Gegevensbescherming? Wij helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.