Bir yandan son derece popüler bir görüntülü görüşme yazılım, diğer yanda üst üste yaşanan güvenlikle ilgili endişeler akla tek soruyu getiriyor: Zoom güvenli mi?
*Bu yazı Digital Report dergisinin Mayıs 2020 sayısında yayınlanmıştır.
Görüntülü görüşmelerin göz bebeği haline gelen Zoom, güvenlik konusunda soru işaretleri yaratırken, Aralık’ta 10 milyon olan günlük kullanıcı sayısı, şu anda 300 milyonu geride bıraktı. Biz de bu işin sırrını ve güvenlik konusunda merak edilenleri öğrenmek için Zoom Video Gelişmekte Olan Pazarlar, Pazarlama Müdürü Emrah Aydın’la konuştuk.
Bazı güvenlik araştırmacıları kişisel verilerin Facebook gibi üçüncü taraflarla paylaşıldığını açıkladılar. Bu konuda ne yaptınız?
Kullanıcılarımızın mahremiyetini son derece ciddiye alıyoruz ve bu durumu çözmek için adımlar attık. Facebook ile giriş yap özelliğini kullanıcılarımıza rahat bir erişim sağlamak için platformumuza eklemiştik, ancak Facebook SDK’sının gereksiz bilgi topladığını öğrenince, iOS uygulamamızdan kaldırdık. Facebook’un topladığı bilgiler ise görüşmelerle ilgili değil, mobil işletim sistemi tipi ve sürümü gibi cihaz bilgileriydi.
Karanlık web’de 500 bin kullanıcının verilerinin açığa çıktığı iddia edildi. Zoom kullanarak verileri çaldırdık mı?
Genellikle kötü aktörler zaten açığa çıkmış kimlik bilgilerini diğer platformlarda deneyerek, başka yerde kullanılıp kullanılmadıklarını denerler. Bu tip saldırılar, kendi giriş sistemlerini kullanan büyük kurum müşterilerimizi genelde etkilemez. Biz de bu parolaları ve onları ortaya koymak için kullanılan araçları tespit etmek için çok sayıda istihbarat şirketiyle ve kullanıcıları zararlı yazılım yoluyla giriş bilgilerini vermeye yönlendiren binlerce web sitesini kapatan bir şirketle çalışmaya başladık.
Araştırmalarımız sürüyor, sızıntı olduğuna inandığımız hesapları kilitliyor, kullanıcılardan parola değiştirmelerini istiyor ve ek teknoloji çözümleriyle bu çabalarımızı destekliyoruz.
En önemlisi, Zoom olarak kullanıcıların verilerini satmıyoruz, geçmişte de satmadık, gelecekte de satma niyetimiz yok. Zoom, görüşmelerinizi ya da görüşmelerin içeriklerini takip etmiyor. Zoom, tüm gizlilik yasalarına, kurallara ve aralarında GDPR, CCPA ve KVKK’nın da bulunduğu ilgili düzenlemelere uyarak hareket ediyor. Daha saydam ve açık olmak için gizlilik politikamızı da değiştirdik.
Yeni Zoom 5.0 sürümümüz, var olan en güvenli şifreleme standartlarından AES 256 bit GCM kullanıyor.
Zoom, görüşmeleri şifreliyor mu şifrelemiyor mu?
Zoom’un şifreleme çalışmaları üzerine bir blog yazısı ve teknik doküman yayınladık. Tüm video, ses ve sohbet içerikleri, Zoom sisteminde her an şifreli olarak dolaşıma giriyor.
Yeni Zoom 5.0 sürümümüz, var olan en güvenli şifreleme standartlarından AES 256 bit GCM kullanıyor. Bu da, Zoom’u açık, birlikte işlem görebilir ve ölçekli video iletişimi için şifreleme güvenliği anlamında endüstri lideri haline getiriyor.
Zoom olarak gelecekte uçtan uca şifreleme sunmayı da planlıyoruz.
Zoom bombing yaşamamak için ne yapmak gerekiyor?
Buna benzer olayları derin bir üzüntüyle karşılıyoruz ve kullanıcıların karşılaşabileceği her tür olumsuz durumu doğrudan bize iletmesini istiyoruz ki, gerekenleri yerine getirelim. Ayrıca, Zoom buna benzer durumlarda ilgili hükümetler ve yasal organlarla iletişim kuruyor ve politikaları hakkında bilgiye dayalı kararlar verebilmeleri için ihtiyaç duydukları bilgileri sağlıyor.
Eğitim amacıyla Zoom kullananların yanı sıra Ücretsiz Temel ve Temel Pro kullanıcılarımız için varsayılan ayarları sanal bekleme odalarını etkinleştirecek ve ekran paylaşımının sadece toplantı yöneticileri tarafından gerçekleştirilebileceği şekilde değiştirdik. Ayrıca tüm toplantı sahipleri için toplantı içi tüm güvenlik özelliklerine erişebilmeleri için “Güvenlik” simgesi ekledik. Zoom olarak eğitmenlerin güvenli bir platform için ihtiyaç duyacakları araç ve kaynakları sağlamak temel amacımız.
Çin’deki yazılım geliştiricilerimiz Zoom’un üretim ortamına ve platformda büyük değişiklikler yapma erişimine sahip değil.
Zoom’un yeni sürümünde güvenlik simgesinden erişilebilen “Kullanıcı raporlama” özelliği de yer alıyor ve bunlar Güvenlik ekibimize iletiliyor.
Nisan ayında birden Zoom görüşmelerini güvenli hale getirmeyi anlatan birden fazla içeriğe blog’umuzda yer verdik. Ayrıca 20 Mart’ta istenmeyen misafirlerin görüşmelere katılmasını nasıl engelleyebileceğiniz konusunda da bir blog yazısı yayımladık.
Zoom Çinli bir şirket mi? Verilerimiz Çin’den geçiyor mu, bu konuda endişelenmeli miyiz?
Zoom, NASDAQ’da yer alan halka açık bir şirkettir, dünyanın farklı yerlerinde ofisleri bulunur, merkezi San Jose, Kaliforniya’dadır ve bir ABD vatandaşı tarafından yönetilmektedir. Zoom kaynak kodunun tamamı ABD’de saklanmakta ve üzerinde değişiklikler yine burada yapılmaktadır. Çin’deki Zoom yazılım geliştiricileri, ABD’deki mühendislik ekibimiz tarafından yönetilir ve sorumluluklarını ABD’deki mühendislik ekibinin tasarım ve mimari kararları doğrultusunda taşırlar.
Çin’deki geliştiriciler, Zoom’un üretim ortamına erişim sahibi değildir, platformda büyük değişiklikler gerçekleştirme erişimine ve gücüne sahip olmadıkları gibi hiçbir görüşme içeriğine de erişemezler. En önemlisi, tüm Zoom mühendislik birimi içerisinde konumdan bağımsız olarak, tüm mühendisler kurum içi işlevleriyle sınırlı şekilde kaynak koduna erişebilirler.
Zoom, sağlam bir küresel ağ ile, ücretli ve ücretsiz kullanıcıların tümü için en iyi performansı sunacak ağ yönlendirmesini yapar. Son değişiklikler ile ücretli Zoom kullanıcılarına ek işlevler sunulmuştur, ücretsiz kullanıcılar ise hesaplarının yaratıldığı konumda, en iyi hizmet alacakları veri merkezleriyle desteklenirken, en iyi coğrafi konum koruma duvarları devrededir.
Zoom’u yasaklamak isteyenler, hükümet düzeyinde uyarılar oldu. Bu konuda bir şey yapıyor musunuz?
Zoom buna benzer durumlarda ilgili hükümetler ve yasal organlarla iletişim kuruyor ve politikaları hakkında bilgiye dayalı kararlar verebilmeleri için ihtiyaç duydukları bilgileri sağlıyor. Dünyanın en büyük finans kuruluşlarından telekomünikasyon operatörlerine, sivil toplum kuruluşlarından kamu kurumlarına kadar birçok kuruluş, Zoom’un kullanıcı, ağ ve veri merkezi katmanları üzerinde kapsamlı güvenlik incelemeleri gerçekleştirdi ve Zoom’u tümleşik iletişim ihtiyaçları için kullanmaya devam ediyor.
Zoom görüşmelerini katılımcılardan habersiz kayıt eden bir zararlı yazılım bulunduğu iddia ediliyor. Bu konu hakkında ne düşünüyorsunuz?
Bu, sadece Zoom’un değil, tüm Windows uygulamalarının açık olduğu bir saldırı vektörü ve gerçekleşebilmesi için kullanıcının bilgisayarına bir zararlı yazılım kurması gerekiyor. Sonrasında, tüm zararlı yazılımlar gibi Zoom dahil tüm çalışan uygulamaları kontrol etme ve davranışlarını değiştirme erişimine sahip oluyor.
Zoom’un kullanıcı sayısı büyük hızla büyüyor, sistemleriniz bu büyümeyi daha ne kadar kaldırabilir?
Dünyanın 17 noktasında kendi veri merkezlerimiz var; ses ve video trafiği yönlendirirken belirgin bir kontrol ve esneklik yeteneği kazanıyoruz. Bir kullanıcıya yakın bir veri merkezinde kapasite sınırı oluşursa, ek trafik başka bir veri merkezine yönlendiriliyor. Eşsiz bir ani bir talep artışında, on binlerce AWS sunucusunu Gizlilik Politikamız ile tam uyumlu biçimde, sadece birkaç saat içerisinde devreye alıyoruz.
