Zoom reageerde snel op beveiligingsproblemen: wachtwoorden zijn ingesteld en wachtkamers worden automatisch ingeschakeld

Bedrijven over de hele wereld proberen ondanks de huidige coronaviruspandemie hun activiteiten draaiende te houden en staan voor veel verschillende uitdagingen. Een van hen houdt contact met werknemers terwijl iedereen thuis is, en in het licht hiervan is het geen wonder dat het aantal mensen dat gebruikmaakt van een online videoconferentieservice Zoom groeide van 10 miljoen in december 2019 tot meer dan 200 miljoen eind Maart. Het mag geen verrassing zijn dat het platform veel aandacht heeft gekregen, zowel van cybercriminelen als van beveiligingsonderzoekers. Naar eigen zeggen vinden de verantwoordelijken van het platform dit een beetje overweldigend.

Ze worden immers met heel wat problemen geconfronteerd. Beveiligingsexpert Graham Cluley beschreef Zoom's houding ten opzichte van beveiliging en privacy als "minder dan perfect", en het is niet moeilijk te begrijpen wat hij bedoelt. De service bleek behoorlijk veel gegevens te delen met Facebook, inclusief details die toebehoren aan mensen die geen Facebook-account hebben. Erger nog, de meeste gebruikers hadden er geen idee van. Een paar weken geleden loste Zoom het probleem op en verontschuldigde zich.

Later ontdekten journalisten dat het platform enkele technische termen verkeerd gebruikt. Gastheren van Zoom-vergaderingen hebben een optie die, indien ingeschakeld, deelnemers vertelt dat de conferentie end-to-end gecodeerd is, terwijl deze in feite via een gewone HTTPS-verbinding loopt. Voor de meeste organisaties is een HTTPS-verbinding goed genoeg, maar de ontwikkelaars van Zoom gaven toe dat de term "end-to-end encryptie" sommige mensen heeft misleid en verontschuldigde zich voor de tweede keer. Vorige week zeiden ze opnieuw "sorry".

Zoom verandert de standaardconfiguratie van vergaderingen in een poging om zoombombing te bestrijden

Op 1 april gebruikte Eric Yuan, CEO van Zoom, de blog van het platform om een bericht aan gebruikers te publiceren, waarin hij zei dat hij en zijn team de afgelopen weken nieuwe maatregelen hebben geïmplementeerd om te proberen een groot aantal problemen op te lossen. Onder hen is de zogenaamde zoombombing.

De term is onlangs bedacht toen het toenemende aantal Zoom-gebruikers een golf van ongenode gasten veroorzaakte naar de vergaderingen die op het platform werden gehost. Het probleem lag in het feit dat de meeste hosts van Zoom-vergaderingen hun conferenties niet met een wachtwoord zouden beschermen. Als gevolg hiervan zou iedereen met de vergaderings-ID kunnen deelnemen, luisteren naar wat anderen zeiden en zelfs hun scherm konden delen. Zoombombing een online yogales is waarschijnlijk niet zo'n groot probleem, maar als je bedenkt dat de service wordt gebruikt door politici van topniveau, zul je zien dat het probleem serieus is.

Zoomgebruikers hebben altijd de mechanismen gehad om ongewenste gasten buiten te houden. Zoals we al vermeldden, kunt u een Zoom-vergadering beveiligen met een wachtwoord en als gastheer kunt u ook een "wachtkamer" opzetten. Al uw gasten worden erin geplaatst totdat u ze handmatig binnenlaat.

Het feit dat zoombombing zoiets werd, laat echter zien dat tot voor kort de meeste gebruikers zich niet druk maakten over deze opties. Nu moeten ze het echter doen, want vanaf nu zijn wachtwoordbeveiliging en wachtkamers standaard ingeschakeld.

Deze acties moeten een positief effect hebben op de beveiliging van Zoom-vergaderingen. Maar zullen ze genoeg zijn?

Gebruikers moeten nadenken over hun eigen beveiliging

In zijn blogpost geeft Eric Yuan openlijk toe dat de service die hij beheert niet genoeg heeft gedaan om de privacy en veiligheid van zijn gebruikers goed te beschermen. Hij lijkt echt teleurgesteld te zijn in dit feit en hij lijkt vastbesloten het record recht te zetten. Naast het standaard inschakelen van enkele van de beveiligingsfuncties van de vergaderingen, hebben de ontwikkelaars van Zoom ook andere privacyproblemen aangepakt, en Yuan beloofde dat de focus de komende maanden zal verschuiven van het introduceren van nieuwe functies en het zorgen dat de miljoenen nieuwe Zoomgebruikers communiceren veilig.

Op het eerste gezicht lijkt het erop dat het platform wil leren van zijn fouten uit het verleden. Laten we hopen dat gebruikers dezelfde mentaliteit hebben, omdat ook zij verantwoordelijk zijn voor hun eigen veiligheid.

Dankzij de veranderingen die Zoom heeft doorgevoerd, zou een videoconferentie nu beter moeten worden beschermd, maar toch zou al het werk ongedaan kunnen worden gemaakt door een simpele gebruikersfout. Hoewel de vergaderingen standaard zijn beveiligd met een wachtwoord, hebben mensen die een directe link ontvangen er zonder authenticatie toegang toe, wat betekent dat u voorzichtig moet zijn met wie u uw links deelt. Je moet ook niet vergeten dat, zoals we op deze pagina's talloze keren hebben vermeld, een zwak wachtwoord bijna net zo goed is als helemaal geen wachtwoord.

Ondanks de nieuwe voorzorgsmaatregelen, blijven mensen Zoom bekritiseren omdat het niet genoeg doet om de privacy van zijn gebruikers te beschermen. Wat deze mensen je echter niet zouden vertellen, is of ze hun bijdrage hebben geleverd. Helaas laat de ontelbare stroom van cyberbeveiligingsincidenten zien dat dit vaak niet het geval is.