Zoom CEO’su güvenlik ve gizlilik problemleri için özür diledi

Zoom CEO’su Eric Yuan, görüntülü görüşme hizmetindeki gizlilik ve güvenlik problemleri için özür diledi.

Koronavirüs pandemisi beyaz yakalı çalışanları evden çalışmaya zorladığı için Zoom, Ocak ayından bu yana adeta patlama yaşadı. Yuan, bir blog yazısında Mart ayının sonunda günlük 200 milyon ücretsiz ve ücretli kullanıcıyla kullanımın %1.900 oranında arttığını, Aralık sonunda 10 milyon ücretli kullanıcıya ulaşmayı hedeflediklerini söyledi.

Ancak artan kullanım, yazılımı bilgisayar korsanlarının ve trollerin hedefe yerleştirmesine ve herkesin incelemesini sağladı. Troller “Zoom bombing” yapmaya başladı. Zoom bombing nedir? Video görüşmelerine giren ve aslında görüşmeye davetli olmayan kişiler porno vb. uygunsuz görüntüleri ekrana taşımasına Zoom Bombing adı veriliyor.

Zoom neden güvenli değil?

Bu hafta, Zoom’un ürünü pazarlarken iddia ettiği gibi uçtan uca şifreleme yapmadığı ve şirketin binlerce kullanıcının kişisel e-postalarını ve fotoğraflarını istemeden sızdırdığı ortaya çıktı. Firma, Facebook’a izinsiz veri göndermesi sebebiyle suçlayan bir davaya da konu oldu.

Yuan güvenlik sorunları için özür diledi, çoğunun giderildiğini söyledi ve ekledi: “Ürünü birkaç hafta içinde dünyadaki her insanın aniden evden çalışacağı, çalışacağı ve sosyalleşeceği öngörüsü ile tasarlamadık. Şimdi, ürünümüzü beklenmedik şekillerde kullanan çok daha geniş bir kullanıcı grubumuz var ve platformu tasarlanacağını tahmin etmediğimiz zorluklar ortaya çıkıyor.”

Yuan sözlerine şöyle devam etti: “Topluluğun ve kendimizin gizlilik ve güvenlik beklentilerinin altına düştüğümüzün farkındayız. Bunun için çok üzgünüm ve bu konuda ne yaptığımızı paylaşmak istiyorum.”

Zoom’un güvenlik ve gizlilik önlemleri

Yuan’ın Zoom’un platformunu daha güvenli hale getirmek için aldığı önlemler şöyle:

1. Zoom, her Çarşamba saat 10.00’da güvenlik güncellemeleri içeren haftalık bir web semineri düzenleyecek.
2. Yuan, Zoom için özelliklerini dondurduklarını ve yeni özellik yayınlamayacaklarını, bunun yerine var olan sorunları düzeltmeye odaklanacaklarını belirtti.
3. Zoom, “üçüncü taraf uzmanlar ve temsilci kullanıcılar” ile güvenliğini kapsamlı bir şekilde gözden geçireceğini söyledi.
4. Zoom, bir şeffaflık raporu hazırlayacak ve yayınlayacak. Ancak şeffaflık raporunun ne zaman yayınlanacağını ya da “veri, kayıt veya içerik talepleriyle ilgili bilgiler” içerip içermeyeceği belirtilmedi. Zoom’la ilgili şu andaki en büyük endişelerden biri, teknik olarak insanların çağrı görüntülerine erişebilmesi ve bunu kolluk kuvvetlerine teslim edebilmesidir, çünkü video konferanslar için uçtan uca şifreleme kullanılmıyor. Fakat Zoom, kullanıcıların görüşme verilerine erişmediğini belirtiyor.
5. Birçok büyük teknoloji şirketi, etik hacker’ları nakit karşılığında sorun bulmaya teşvik eden hata ödül (bug bounty) programları sunuyor. Zoom da var olan programının kapsamını genişletecek, ancak Yuan ödül konusunda bilgi vermedi. Daha önce Zoom’un Mac bilgisayarlarda web kameralarına uzaktan erişim açılabilmesini sağlayan bir açık bulduğunda, şirket hatayı daha geniş bir şekilde ifşa etmemesini gerektiren bir gizlilik anlaşması istemişti.
6. Zoom, CISO konseyi kuracak. Şirketlerin siber güvenliği denetleyen CISO konusunda Yuan, “güvenlik ve gizlilikle ilgili en iyi uygulamaları” tartışmak için “sektörün önde gelen CISO’larıyla” bir konsey kuracağını söyledi.
7. Zoom, beyaz kutu (white box) tekniği ile sızma testleri yapmaya başlayacak. Önceden bilgi sahibi olmadan ya da az bilgiyle zayıflık aranan kara kutu sızma testinin aksine, altyapısı hakkında derin bilgiye sahip bir kuruluş içinden güvenlik kusurları aranacak.