עד לפני חודשיים, פלטפורמת שיחות הווידאו "זום" הייתה נחלתם של מעטים, ושימשה בעיקר ארגונים וחברות בתעשיית ההייטק לצורך פגישות עבודה מרחוק. משבר הקורונה הפך את זום כמעט בין לילה לפופולרית כמעט כמו "וואטסאפ": בחסות הבידוד החברתי והעובדה שאסור לנו לצאת מהבית, הפלטפורמה הפכה לברירה הטבעית עבור ישיבות ופגישות עבודה, מפגשים משפחתיים, מסיבות עם החברים, שיעורי יוגה, הרצאות וקורסים מקוונים, ובקרוב גם ליל הסדר.
לא לגמרי ברור למה המוני משתמשים נהרו דווקא אל זום, אבל לפי דיווח של החברה עברו בזום מלארח כ-10 מיליון משתתפים ביום בפגישות מקוונות בחודש דצמבר האחרון, ליותר מ-200 מיליון בצל הקורונה, בתוך שלושה חודשים בלבד. הזינוק המטאורי הזה משך באופן טבעי מצד אחד גם תוקפים - שמזהים את העניין הציבורי הרחב סביב זום ומבקשים לנצל את הפלטפורמה ואת העניין שהיא מעוררת למטרות זדוניות, ומצד שני גם חוקרי אבטחה שהחלו לבחון לעומק את רמת האבטחה והפרטיות בזום. והתמונה, איך לומר בעדינות, לא מחמיאה במיוחד.
בשבוע שעבר שחרר ה-FBI הודעת אזהרה לציבור המשתמשים בזום בארצות-הברית, בעיקר במסגרות חינוכיות שפנו אל הפלטפורמה לצורך למידה מרחוק. האזהרה כללה חשש מפני "חטיפת פגישות זום" על ידי תוקפים וטרולים בלתי קרואים, שיכולים להסתנן לשיחות בפלטפורמה. אחת התופעות המדאיגות בהקשר הזה, עליה כבר דיווחנו, היא תופעת ה"זוםבומבינג" - שמנצלת את פיצ'ר שיתוף המסך בשיחת זום, ובה טרולים משתפים תמונות וסרטוני זוועות, אלימות קשה ופורנוגרפיה, וכשמדובר במפגש זום כיתתי של ילדי בית-ספר יסודי ותיכון - זו סכנה של ממש. עכשיו, גם מדובר בעבירה פדרלית שעשויה לגרור קנסות ואפילו זמן מאסר.
בסוף השבוע שעבר חשפו חוקרי אבטחה כי למרות ההצהרה המפורשת של זום, הפלטפורמה לא באמת משתמשת בהצפנה מקצה-לקצה של השיחות המתקיימות באמצעותה, אלא נעזרת באלגוריתם הצפנה בעל חולשות אבטחה מוכרות. בנוסף, חשפו החוקרים כי ישנם מקרים שבהם מפתחות האבטחה מיוצרים בשרתים שנמצאים בסין, כך שזום עשויה להיות מחוייבת לשתף מפתחות הצפנה עם השלטונות, במידה ותידרש לכך.
בהמשך למחקר הזה, פרסם עודד גל, סמנכ"ל ניהול מוצר והישראלי הבכיר בחברה, פוסט מפורט בבלוג של החברה, המתאר את סכימת ההצפנה שבה משתמשת זום. "לאור העניין ההולך וגובר בפרקטיקות ההצפנה שלנו, אנחנו רוצים לפתוח בהתנצלות על הבלבול שיצרנו כשטענו בטעות שפגישות זום מסוגלות להתנהל בהצפנת קצה-לקצה", כתב גל. באותו יום פרסם גם מנכ"ל זום, אריק יואן, פוסט שעוסק בהרחבה בדרכים שבהם נוקטת החברה כדי לטפל בשורה של בעיות אבטחה ופרטיות שהתגלו בחודשיים האחרונים על גבי הפלטפורמה. "אנחנו מכירים בכך שלא הצלחנו לעמוד בציפיות האבטחה והפרטיות של הקהילה ושל עצמנו", כתב, "ועל כך אני מתנצל עמוקות".
והנה תמצית הכשלים: מלבד תופעת ה"זוםבומבינג" המדאיגה, בחודשיים האחרונים התגלה כי זום חושפת אלפי כתובות מייל ותמונות של משתמשים לזרים מוחלטים, משום שהיא נוהגת לשייך משתמשים אינדיבידואליים לחשבונות החברה; אלפי הקלטות של שיחות זום חשופות ברשת לאחר שהועלו לשירותי ענן - בגלל פרקטיקת השיום של זום להקלטות; נודע כי זום מעבירה מידע על משתמשים לפייסבוק - גם אם אין להם חשבונות פייסבוק; נחשפו חולשות אבטחה בווינדוס וחולשה משמעותית במערכת ההפעלה Mac, שעקפה את ההרשאות ואיפשרה התקנה אוטומטית של האפליקציה על המחשב; בלינקדאין בחרו להשעות אתה אינטגרציה עם זום לאחר שהתגלה כי הפלטפורמה חושפת פרופילים של משתמשים; ונחשפה חולשה שאיפשרה לתוקפים לצותת לשיחות זום ולקבל גישה לקבצים המועברים בה.
חלק ניכר מהכשלים שנחשפו - טופל על-ידי אנשי זום, כפי שפירט יואן בפוסט האחרון שלו. העברת המידע לפייסבוק הופסקה, חולשות אבטחה תוקנו והאפליקציות עודכנו, וכן נוספו כלי אבטחה חדשים כמו שיחות שמחייבות סיסמאות גישה. בנוסף, הכריז יואן בפוסט שלו כי זום נכנסת להקפאת פיצ'רים של 90 יום, שבמהלכם יעבדו קשה על תיקון ליקויי האבטחה ופרטיות המשתמשים.
ויש גם נושאים שלא בטוח שיימצא להם פתרון, ושמעוררים מחלוקת גדולה. פיצ'ר מעקב אחר תשומת-לב, שבו מנהלי שיחות יכולים לראות מי מהמשתתפים עבר לחלון אחר במהלך השיחה למשך יותר מ-30 שניות נחשב לתכונה שנויה במחלוקת הרבה לפני שהגיע משבר הקורונה, שכן הוא מאפשר למנהלים מעקב של ממש אחר העובדים שלהם בזמן השיחות. בנוסף, זום מואשמת כי בניגוד לחברות טכנולוגיה אחרות, היא לא נוהגת לשתף באופן פומבי את כמות הבקשות שהיא מקבלת מרשויות אכיפה לשיתוף מידע. הדבר הזה מייצר חוסר שקיפות משמעותי עבור משתמשים, שלא יודעים עד כמה, ואם בכלל, זום מחוייבת לשמירה על פרטיותם.
ככל שיימשך משבר הקורונה, והצורך שלנו בפלטפורמת הווידאו של זום - ייתכן שנמשיך לגלות עוד ועוד ליקויי אבטחה בפלטפורמה, שצריכה להתמודד בימים אלה עם גידול עצום במשתמשים ועם סוגי שימוש שעד לפני חודשיים לא היו בכלל על המפה. בינתיים נראה שאנשי החברה דווקא כן פועלים כדי למזער נזקים ולטפל בכשלים, אבל לא בטוח שזה יספיק. אם אתם בכל זאת משתמשים בזום, כדאי לעשות זאת בצורה מושכלת ולהתעדכן מעת לעת ככל שנחשפות בעיות אבטחה חדשות.
