coronavirus

Zoom e Houseparty: tutti i problemi privacy e security delle app di videoconferenza più usate

Zoom e Houseparty sono le app di videoconferenza che hanno registrato il maggior successo in questi tempi di quarantena. Semplici da usare e già popolari tra i giovanissimi. Presentano però non pochi problemi sul versante della tutela dei dati personali e della cyber security. Vediamo nel dettaglio quali

09 Apr 2020
Luigi Mischitelli

Privacy & Data Protection Specialist at IRCCS Casa Sollievo della Sofferenza


Il boom delle app di video conferenza Zoom e Houseparty ha un retroscena inquietante, che potrebbe spingere i molti che le stanno usando in questo periodo a cercare alternative. O almeno adottare qualche precauzione per la propria privacy e la sicurezza dei propri dati.

Il problema privacy di Zoom

Soprattutto Zoom adesso è nel mirino degli esperti di sicurezza informatica, dopo che è passata rapidamente da 20 milioni a 200 milioni di utenti quotidiani. Si sta affermando l’idea, tra gli esperti e autorità di diversi Paesi, che il creatore di Zoom abbia voluto privilegiare usabilità sopra sicurezza e tutela della privacy.

Diffusa da anni tra gli adolescenti – soprattutto americani – che scherzosamente si riferiscono a sé stessi come “Zoomers”, nel giro di poche settimane il ricorso a quest’app è diventata virale per milioni di persone, molti dei quali studenti delle scuole superiori e lavoratori di tutto il mondo, nel campo ludico, ricreativo, dell’apprendimento online ovvero del remote working.

Zoom Video Communications è una società di San Jose, California (USA), che è salita alla ribalta negli ultimi giorni di “confinamento forzato” in casa. La sua app per iOS è diventata la più scaricata sull’App Store di Apple a fine marzo. In un giorno l’hanno scaricata quasi 600.000 persone in giro per il mondo. E, mentre il mercato azionario mondiale non se la passa(va) bene, le azioni di Zoom sono salite (almeno fino a fine marzo 2020), con la compagnia valutata fino 29 miliardi di dollari, ossia più delle compagnie aeree USA come Delta, American Airlines o United Airlines. Si stima che Zoom si preparasse a questo momento “topico” da quando il Covid-19 ha iniziato a diffondersi in Cina (quindi all’incirca da gennaio). Già allora era facile prevedere che la clientela primaria di Zoom – gli “users” delle videoconferenze – si sarebbero affidati maggiormente ai suoi servizi mentre erano in “quarantena” a casa. Così l’azienda californiana ha iniziato a monitorare attentamente la propria capacità e ha iniziato ad ospitare sessioni di formazione gratuite. È un momento di grande importanza per Zoom, fondata nel 2011 da Eric Yuan, un ex dirigente di Cisco Systems.

Il suo improvviso exploit ha però portato con sé anche nuove preoccupazioni sulla privacy, la moderazione dei contenuti, la sicurezza per i più giovani e la sensibilità alla gravità della pandemia. Il tutto condito dalla “piccola” questione di mantenere il servizio attivo e funzionante in un tempo di “sovradosaggio” di servizi.

Nondimeno, ci si chiede perché – tra le varie app di videoconferenza come Skype, Hangouts, Messenger e FaceTime – Zoom abbia così successo. Zoom è già presente in molti college e scuole americane da anni. Il layout del prodotto rende facile parlare con più persone contemporaneamente. E inoltre possiede alcune caratteristiche che rispecchiano l’ambente dei social media: ad esempio “Touch Up My Appearance” permette il ritocco dell’aspetto dell’utente in videoconferenza. Secondo Paul Condra, analista tecnologico di PitchBook, la gente sceglie Zoom anche perché funziona, e l’affidabilità e semplicità di Zoom ne hanno fatto lo standard da seguire nel mondo dei software per videoconferenze.

Standard che, tuttavia, appare sottotono in termini di privacy. Jules Polonetsky, amministratore delegato del Future of Privacy Forum, ha avvertito che i termini di servizio di Zoom includono alcune clausole che potrebbero invadere la privacy degli utenti. Per cui, come per tutti i prodotti, gli utenti dovrebbero fare attenzione ad utilizzare Zoom senza essere consapevoli di alcuni problemi di privacy che lo riguardano.

Sempre Polonetsky afferma che la politica standard di Zoom sulla privacy consente di condividere i dati per il marketing mirato. E alcuni dei termini standard dell’azienda non sono coerenti con lo statunitense Family Educational Rights and Privacy Act, o FERPA, oltre ad altre norme in materia di protezione dei dati personali (possiamo indicare il GDPR). Per i lavoratori che utilizzano il software durante l’orario di lavoro, Zoom include anche una funzione in grado di tracciare alcuni aspetti del multitasking di un partecipante su un computer e di segnalarlo all’host della chiamata (ad esempio se il lavoratore è attivo o sta “facendo altro”). Una portavoce di Zoom ha affermato che questa funzione è progettata per i datori di lavoro affinché sia garantito il completamento della formazione da parte dei lavoratori, risultando disattivata per impostazione predefinita. Ma entriamo nel dettaglio dei maggiori problemi privacy riscontrati ultimamente.[1]

Rispondendo al New York Times, Zoom ha dichiarato di prendere “estremamente sul serio la privacy, la sicurezza e la fiducia dei suoi utenti”, e di aver “lavorato 24 ore su 24 per garantire che ospedali, università, scuole e altre aziende in tutto il mondo potessero rimanere connessi e operativi”. Sempre l’azienda di San Josè ha dichiarato di apprezzare l’impegno del procuratore generale di New York, restando a disposizione per fornire le informazioni richieste. La settimana scorsa, dopo che un articolo sul sito di notizie Motherboard ha riferito che un software all’interno dell’app Zoom per iPhone stava inviando i dati degli utenti a Facebook, l’azienda ha detto che avrebbe rimosso il software di tracciamento.

Poiché molti distretti scolastici hanno adottato Zoom per consentire agli insegnanti di ospitare lezioni dal vivo con gli studenti, alcuni esperti di privacy si sono detti particolarmente preoccupati di come potrebbero essere utilizzati i dati personali dei bambini. Alcuni distretti hanno proibito agli educatori di usare Zoom come piattaforma di apprendimento a distanza. Nella lettera, l’ufficio del Procuratore Generale ha citato la notizia che Zoom avesse condiviso i dati con Facebook, chiedendo ulteriori informazioni sulle categorie di dati che Zoom raccoglie, così come le finalità e le “terze parti” a cui Zoom fornisce i dati dei consumatori. L’ufficio ha espresso la preoccupazione che l’app potesse aggirare i requisiti a tutela dei dati degli studenti. Per aiutare gli educatori, l’azienda ha recentemente ampliato i limiti di collegamento di più persone sugli account gratuiti. L’ufficio del procuratore generale ha definito tali sforzi lodevoli, ma ha anche detto che la società sembra cercare di scaricare i requisiti relativi al consenso sulle scuole. L’ufficio ha richiesto una descrizione della politica di Zoom per ottenere e verificare il consenso nelle scuole primarie e secondarie, nonché una descrizione di terzi che hanno ricevuto dati relativi ai bambini. Zoom ha dichiarato che il suo servizio per le scuole è conforme alle leggi federali USA sulla privacy educativa e sulla privacy degli studenti. La lettera chiedeva anche dettagli su eventuali modifiche che l’azienda avesse messo in atto, relativamente per la falla che permetteva agli hacker di impossessarsi delle webcam degli utenti. L’azienda ha aggiornato la sua privacy policy qualche giorno fa.[2]

La causa californiana per violazione privacy

Zoom è stata citata in giudizio da un utente statunitense che sostiene che il popolare servizio di videoconferenza stia divulgando illegalmente informazioni personali. Secondo l’utente istante dinanzi al tribunale distrettuale di San Josè[3] (sede di Zoom), la società californiana raccoglierebbe informazioni dal momento che gli utenti installano o aprono l’APP, condividendole senza un adeguato preavviso con terze parti, tra cui Facebook.

Le azioni di Zoom sono più che raddoppiate quest’anno, poiché gli investitori hanno scommesso che la società di video-conferenze sarebbe stata una delle rare vincitrici della pandemia del Covid-19. L’aumento del suo utilizzo è dovuto al fatto che sempre più persone lavorano da casa o utilizzano il software di videoconferenza per tenersi in contatto piuttosto che incontrarsi di persona. Secondo l’accusa, la privacy policy di Zoom non spiegherebbe agli utenti che la sua app contiene un codice che rivela informazioni a Facebook e potenzialmente ad altre terze parti. Secondo l’accusa, la progettazione del programma e le misure di sicurezza del tutto inadeguate hanno portato, e continueranno a portare, alla divulgazione non autorizzata delle informazioni personali dei suoi utenti. Robert Cullen di Sacramento sta cercando di rappresentare altri utenti e ha chiesto di valutare se Zoom abbia violato o meno il California Consumer Privacy Act (CCPA). In pratica l’istante sta cercando di ottenere il risarcimento dei danni per il trattamento dei suoi dati personali. La causa segue un rapporto della pubblicazione Motherboard, che per prima cosa ha rivelato che l’applicazione iOS di Zoom stava condividendo dati con Facebook. Dopo il rapporto, Zoom ha dichiarato a Motherboard di aver rimosso il codice che inviava i dati a Facebook.[4] Condivisione dei dati con Facebook che sarebbe stata “risolta” qualche giorno fa[5].

Zoombombing

WHITEPAPER
IoT Security: i fattori prioritari e i modelli da considerare nelle valutazioni dei rischi
IoT
Legal

Infine, anche se probabilmente non c’entrano le politiche di zoom, è un problema privacy anche il Zoombombing. Nelle ultime settimane, alcuni soggetti hanno sfruttato la funzione di condivisione dello schermo di Zoom per “dirottare” le riunioni, nonché per interrompere le sessioni educative e postare messaggi razzisti a un webinar sull’antisemitismo. Tale fenomeno, che si sta diffondendo in tutto il mondo, ha preso il nome di “Zoombombing”. Invitiamo a leggere i consigli in fondo a quest’articolo per proteggersi.

II problemi security di Zoom

Da fine marzo Zoom è “sotto esame” da parte dell’ufficio del procuratore generale di New York, Letitia James, per la gestione dei dati personali degli utenti e – in generale – per le sue politiche di sicurezza. Lunedì 30 marzo il procuratore generale ha inviato a Zoom una lettera in cui si chiedeva quali fossero le eventuali nuove misure di sicurezza che l’azienda avesse messo in atto per gestire il recente aumento del traffico sulla propria rete, nonché per individuare eventuali falle. Mentre la lettera si riferiva a Zoom come “una piattaforma di comunicazione essenziale e di valore”, la stessa lettera evidenziava diverse preoccupazioni, rilevando come l’azienda fosse stata lenta nell’affrontare le sue falle di sicurezza, come le vulnerabilità che potrebbero permettere a terzi malintenzionati di ottenere, tra le altre cose, l’accesso illecito alle webcam degli utenti.

E’ emersa anche una intrinseca debolezza cybersecurity di Zoom, che per farsi installare e usare più rapidamente rinuncia a lavorare nell’ambiente sandbox di Windows e Mac. Ha così accesso a livelli più profondi del sistema operativo, di conseguenza espone a maggiori rischi: è già stato appurato che è possibile attivare la videocamera senza il consenso degli utenti, su pc dov’è installato Zoom. Avendo un accesso profondo al sistema, può anche collezionare più dati personali, diventando così un maggiore rischio per la privacy (vedi sopra).

L’ufficio del procuratore generale di New York è particolarmente preoccupato che le attuali misure di sicurezza di Zoom potrebbero non essere sufficienti per far fronte alla recente e improvvisa impennata sia del volume che della “sensibilità” dei dati che passano attraverso la sua rete. Tuttavia, specifica il procuratore generale, anche se Zoom ha recentemente rimediato “tappando” le falle di sicurezza segnalate, è necessario capire se Zoom abbia intrapreso o meno una revisione più ampia delle sue politiche di sicurezza, come adesso promette di fare.

In particolare con milioni di americani (ma la questione è estensibile al mondo) costretti a rifugiarsi a casa a causa del Covid-19, le riunioni via Zoom sono diventate rapidamente un pilastro della comunicazione per le aziende, le scuole pubbliche e le famiglie. Come affermato precedentemente, man mano che la popolarità di Zoom cresce, l’app affronta una serie di problemi di privacy e sicurezza dei dati, un approccio reattivo che ha portato a reclami da parte di alcuni gruppi a tutela dei consumatori, della privacy e dei bambini.

Niente crittografia end to end, 15 mila video di zoom disponibili online

Un altro problema security è l’assenza di crittografia end to end, il che espone a maggiore rischio di intercettazione della videoconferenza.

Secondo un rapporto del Washington Post, migliaia di registrazioni di Zoom sono state esposte sul web a causa del modo in cui l’azienda californiana denomina le sue registrazioni. Le registrazioni sono apparentemente denominate in modo identico e molte sono state postate su servizi non protetti di Amazon Web Services (AWS), rendendo possibile trovarle attraverso una semplice ricerca online. Secondo il Washington Post, un motore di ricerca in grado di effettuare una ricerca attraverso lo spazio di archiviazione nel cloud ha rivelato più di 15.000 registrazioni di Zoom. A quanto pare, migliaia di registrazioni sono state caricate anche su YouTube e Vimeo. Il Washington Post ha dichiarato di essere in grado di visualizzare le registrazioni di sessioni di terapia, orientamenti, incontri di lavoro, classi di scuola elementare e altro ancora. Zoom è stato avvisato del problema, riferisce il Washington Post, ma non è chiaro se l’azienda cambierà il modo in cui denomina i video.

Da Zoom hanno affermato che l’app notifica ai partecipanti quando un ospite sceglie di registrare una riunione, e fornisce un modo sicuro e protetto per gli ospiti di memorizzare le registrazioni. Sempre Zoom ha affermato che le riunioni vengono registrate a scelta dell’host localmente ovvero nel cloud di Zoom. Se in seguito l’host dovesse scegliere di caricare le registrazioni del meeting in un altro luogo, Zoom lo “inviterebbe” a usare estrema cautela e ad essere trasparente con i partecipanti al meeting, valutando attentamente se il meeting contiene informazioni sensibili e tenendo conto delle ragionevoli aspettative dei partecipanti. Zoom è stato sottoposto a un intenso controllo sulle sue pratiche di sicurezza e privacy a causa del massiccio aumento degli utenti di queste ultime settimane, mentre le persone sono costrette a rimanere al proprio domicilio a causa del Covid-19. Qualche giorno fa, Zoom ha corretto il suo installer macOS “malware-like”, applicando una patch di sicurezza a una vulnerabilità di Windows e LinkedIn, sospendendo l’integrazione di Zoom che ha esposto alcuni profili LinkedIn. L’azienda, fanno sapere dal Washington Post, si è anche impegnata a un congelamento delle funzionalità per 90 giorni per concentrarsi sulla risoluzione dei problemi di privacy e sicurezza.[6]

Il problema Houseparty

Infine, concludiamo accennando ad un altro “fronte caldo”, ossia l’app Houseparty, la quale ha registrato un boom di popolarità nelle ultime due settimane. Il motivo? Alcuni esperti dicono che gli utenti potrebbero inavvertitamente condividere più dati personali di quanto non si rendano conto. Ray Walsh di ProPrivacy ha affermato che chiunque decida di utilizzare l’app Houseparty per rimanere in contatto con i propri cari o amici durante la quarantena deve essere consapevole che tale app raccoglie una quantità preoccupante di dati personali, tra i quali dati di geolocalizzazione usati per mappare la posizione di ogni utente. Houseparty, lanciata nel 2016, ha registrato 2 milioni di download verso la fine di marzo, diventando particolarmente popolare tra gli adolescenti che utilizzano la sua struttura informale e i giochi per socializzare in questo periodo. Oltre ai dati di geolocalizzazione gli esperti sono preoccupati per la raccolta di dati dovuti al collegamento dell’account Houseparty a qualsiasi altro account di social media che possa ulteriormente raccogliere dati dagli utenti. ProPrivacy sottolinea che vi possa essere la possibilità che il governo degli Stati Uniti possa iniziare a sorvegliare l’app a causa del suo uso della geolocalizzazione e della sua popolarità. Sempre ProPrivacy ha affermato che se la pandemia dovesse continuare per un periodo prolungato, le possibilità che app come questa possano essere messe sotto sorveglianza per monitorare come si stia diffondendo Covid-19 sono una possibilità molto reale. Gehan Gunasekara, professore associato di diritto commerciale all’Università di Auckland (Nuova Zelanda), ha affermato che Houseparty funziona come un cavallo di Troia, poiché l’utente permetterebbe all’app di accedere allo smartphone, carpendo i movimenti, i luoghi frequentati, i contatti, la frequenza di contatto delle persone, con chi si comunica ecc. tracciando ogni spostamento dell’utente. Per Suzanne Vergnolle della Sorbona di Parigi Houseparty probabilmente non è neanche conforme al GDPR, in quanto l’app tiene traccia degli utenti per impostazione predefinita e le richieste di cancellazione dei dati potrebbero non essere “soddisfatte”. Sempre Vergnolle ha aggiunto che Houseparty non aggiorna la propria privacy policy da giugno 2018.

Dal giugno 2019 Houseparty è stata acquistata da Epic Games, creatori del popolare gioco Fortnite. L’amministratore delegato di Houseparty, Sima Sistani, all’epoca disse di avere una visione comune per rendere l’interazione umana più facile e piacevole, e sempre nel rispetto della privacy degli utenti. Ma Epic Games è stata in precedenza sotto la lente di ingrandimento per questioni di privacy. Secondo il sito web open-source di tracciamento della privacy PrivacySpy, Epic Games ha una triste valutazione di 2,3 su 10 per le sue pratiche in materia di trattamento dati personali, tra cui il fatto di consentire l’accesso di terzi ai dati personali, e di non notificare agli utenti violazioni di dati personali che li riguardano. Fortunatamente, non è difficile per gli utenti “mitigare” le impostazioni privacy di Houseparty. ProPrivacy ha notato che gli utenti possono semplicemente disattivare i dati di localizzazione e rendere private tutte le chat room.[7]

I consigli privacy per le video conferenze

Come mettersi al riparo da questi rischi? Un consiglio, ricorrente, può essere quello di usare applicativi che hanno dietro aziende più strutturate, abituate a ragionare in termini di privacy by design/default, come Microsoft Teams, Skype (sempre di MS), Google Hangouts Meet.

Ma alcuni potrebbero trovarle limitate rispetto alla capacità di Zoom di ospitare così tante persone in contemporanea e ai suoi strumenti di smart working/e-learning.

Si può usare qualche rimedio per tutelarsi su zoom.

Mettere una password ai meeting

Consiglio primario: impostare una password complessa per tutte le riunioni e i webinar.

Abilita la funzione Sala d’attesa

La funzione Sala d’attesa consente all’ospitante di controllare quando ciascun partecipante si unisce alla riunione. Come organizzatore della riunione, puoi ammettere i partecipanti uno a uno o tenere tutti i partecipanti nella sala di attesa virtuale e ammetterli in massa. Ciò richiede più lavoro da parte dell’host, ma consente ai partecipanti di aderire solo se lo ammetti specificamente.

Disabilita Partecipa prima dell’host

Se stai pianificando una riunione in cui verranno discusse informazioni riservate, è meglio lasciare Abilita partecipazione prima dell’ospite. L’opzione Partecipa prima dell’host può essere utile per consentire ad altri di continuare una riunione se non si è disponibili per avviarla, ma con questa opzione abilitata, la prima persona che si unisce alla riunione verrà automaticamente impostata come ospitante e avrà il pieno controllo su l’incontro.

Limita la condivisione dello schermo all’host

Per impostazione predefinita, la condivisione dello schermo nelle riunioni Zoom è limitata all’host. Puoi modificarlo se devi consentire ad altri partecipanti di condividere i loro schermi. Attenzione a chi abilitare. Lo scopo è consentire di condividere e collaborare evitando però zoombooming: impedire ai partecipanti indesiderati di interrompere la riunione con una condivisione intrusiva, con contenuti pornografici o altro, com’è successo.

Sicurezza delle riunioni durante la pianificazione delle riunioni di Zoom utilizzando il calendario di Outlook

Se aggiungi una riunione Zoom al tuo calendario o crei una riunione Zoom nel tuo calendario utilizzando il plug-in Zoom Outlook, tieni presente che la voce del calendario può includere la password della riunione Zoom. Se hai impostato il tuo calendario in modo che sia aperto ai colleghi per visualizzare i dettagli delle tue riunioni, questo può esporre la password a chiunque visualizzi il tuo calendario. È possibile proteggere la password rendendo privata la voce del calendario o modificando la voce per rimuovere la password della riunione di Zoom.

“Chiudi a chiave” la tua sessione

I controlli dell’host Zoom consentono all’host o al co-host di bloccare la riunione, una volta che tutti i partecipanti hanno aderito. Così evitiamo intrusi.

E se usassimo un’altra app?

Dato i problemi intrinseci di sicurezza di Zoom e Houseparty, monta l’idea che forse dovremmo usare app diverse, anche se magari non altrettanto immediate. Come Jitsi, Facetime, Google Meet, Wire.

  1. We Live in Zoom Now. The New York Times. https://www.nytimes.com/2020/03/17/style/zoom-parties-coronavirus-memes.html
  2. New York Attorney General Looks Into Zoom’s Privacy Practices. The New York Times. https://www.nytimes.com/2020/03/30/technology/new-york-attorney-general-zoom-privacy.html
  3. Il caso in questione è Cullen vs Zoom Video Communications, n. 20-cv-02155, tribunale distrettuale degli Stati Uniti per il distretto settentrionale della California (San Jose).
  4. Zoom Sued for Allegedly Illegally Disclosing Personal Data. Bloomberg. https://www.bloomberg.com/news/articles/2020-03-31/zoom-sued-for-allegedly-illegally-disclosing-personal-data
  5. Zoom, stop condivisione dati con Facebook. Ansa. https://www.ansa.it/sito/notizie/tecnologia/software_app/2020/03/30/zoomstop-condivisione-dati-con-facebook_730a2cbc-eab0-417f-aa3a-d5d7f6074f6f.html
  6. Thousands of Zoom recordings exposed because of the way Zoom names recordings. The Verge. https://www.theverge.com/2020/4/3/21207134/zoom-recordings-exposed-thousands-identical-naming-search
  7. Houseparty could be a digital privacy nightmare, experts warn. Yahoo! Finance. https://finance.yahoo.com/news/houseparty-could-digital-privacy-nightmare-205539780.html?guccounter=1
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 4