USA / Canada 866-503-1471

International +972-722-405-222

« לעמוד הראשי

האם Zoom שומר על פרטיות המידע שלכם?

פורסם ב 5 באפריל 2020 ¬ 8:03Tamir Gefen

zoom video זום שיחות וידאו לוגו

Zoom מאוד פופולרי והפך למיינסטרים. גם אנחנו משתמשים בו לפעמים לצורך אירועים מוגדרים (ואפילו העלינו לא מזמן מאמר משלנו עם טיפים שימושיים). נשאלתי לאחרונה כמה פעמים מה דעתי על אבטחת המידע ועל הגנת המידע והפרטיות שהוא מספק, וגם בדקתי את הנושא לאחרונה. לדעתי, המוצר לא מתאים לארגונים שחשובה להם הפרטיות, אבטחת מידע והביצועים (אחד או יותר מהנ"ל) – לאור מקרים שהתפרסמו לאחרונה. 

במאמר זה ריכזתי אוסף נקודות על ליקויים כאלה, כולל הפניה למקורות המידע בעתונות ובאתרים המתמחים באבטחת מידע.

בסוף המאמר אני גם מזכיר פתרון אלטרנטיבי לארגונים, אותו אנו מציעים.

ליקויים באבטחת מידע ופרטיות ב- Zoom:

  • "השיחות ב- Zoom אינן מוצפנות מקצה-אל-קצה, אלא רק התקשורת עם שרתי החברה מוצפנת. כלומר, החברה עצמה יכולה לגשת לתוכן השיחות, בניגוד למשל לשיחות וידיאו בווטסאפ שמוצפנות כך שגם החברה לא יכולה לראות אותן" (מתוך אתר The Intercept – קישור מס' 1 בסוף המאמר)
  • "הפופולריות האדירה של זום גם חשפה צד פחות נעים, אולי אפילו מסוכן, של האפליקציה: יש לה בעיה רצינית בהגנה על פרטיות המשתמשים ואבטחת המידע שלהם" (מתוך אתר כלכליסט – קישור מס' 2 בסוף המאמר)
  • "פיצ'ר ב- Zoom שמיועד לסייע לעובדים מאותה חברה למצוא ולהתקשר זה לזה, באמצעות ריכוז כתובות האימייל המקצועיות שלהם לפי הדומיין של הכתובת, הביא לחשיפת פרטים אישיים של משתמשים שהתחברו לשירות עם אימייל פרטי מספק לא מוכר (כלומר, לא ג'ימייל או יאהו, למשל), אחרי שזום קיבצה בטעות את הכתובות שלהם תחת אותה חברה. טעות שאפשרה גם לזרים מוחלטים ליזום שיחות וידיאו אתם (מתוך כלכליסט ואתר MotherBoard – קישור מס' 3 בהמשך)
  • חברת Apple נאלצה לעדכן ולאבטח מליוני mac addresses אחרי שהתברר ש- Zoom התקינה על המחשבים שרת סודי שנשאר עליהם גם לאחר שהתוכנה הוסרה, ושחשף את המק למתקפות זדוניות (קישור מס'  4 בהמשך מתוך אתר TechCrunch)
  • אפליקציית ה- iPhone של זום שלחה בחשאי לפייסבוק מידע על הרגלי השימוש של משתמשים, כמו מתי הם פתחו את האפליקציה או מספר הסלולר שלהם. זום הסירה את הקוד שאפשר זאת, אך התביעה הייצוגית בארה"ב כבר הוגשה (מתוך TechCrunch)
  • חוקר אבטחה חשף שחברת Zoom משתמשת בטכניקה מפוקפקת שנמצאת בשימוש של רוגלות כדי להתקין את אפליקציית ה- mac שלה (מתוך TechCrunch)
  • החברה לא מפרסמת את בקשות המידע שהיא מקבלת ממדינות ורשויות חוק, בניגוד לחברות כמו Facebook, Apple ו- Google (מתוך TechCrunch)
  • מדיניות הפרטיות של Zoom, התבררה לאחרונה ככזו המתירה לחברה לאסוף מידע משתמשים, כולל וידיאו ותמלולי שיחות, לצרכי פרסום (מתוך TechCrunch)
  • וכמובן שיש את ה – "Zoom Bombing": פעילות טרולינג פופולרית ביותר בימים אלו, שעיקרה התפרצות לא מבוקרת לשיחות והשתלטות על המסך המרכזי על מנת לקלל, לגדף, להפיץ אמירות גזעניות ופורנו בוטה. היצרן ממליץ להוסיף סיסמא ללינק הגישה לפגישות – אך גם זה לרוב לא יפתור את הבעיה (מתוך TechCrunch)

נקודות תורפה הנוגעות לביצועים וזמינות השירות ב- Zoom:

  • החברה מחזיקה שרתים על Data Centers פרטיים משלה וכן ב- AWS . אף אחד מהם אינו נמצא בישראל, מה שיכול להשליך על איכות הוידאו וה – streaming עקב בעיות latency ועומסים על עננים ציבוריים
  • איטיות ב- AWS וחוסר זמינות של שירות הענן של Amazon משליכים באופן ישיר על השירות של Zoom
  • שירות Zoom חווה בשבועיים האחרונים ניתוקים וביצועים חלשים בזמנים לא מתוכננים ולא ידועים מראש. ההנחה הרווחת היא שלאחרונה הצטרפו מליוני משתמשים חדשים חינמיים, המכבידים על השרתים עבור המשתמשים המשלמים
    באתר הבא (קישור מס' 5 בהמשך) ניתן לראות דיווחי משתמשים על תקלות בטווח של 24 שעות אחרונות . בתמונה להלן רואים תקלות נכון ל 5/4/2020 (ניתן להקליק על התמונה ולהגדיל אותה)
    zoom downtime downdetector
  • חשוב לזכור: אם מתוכננת לכם פגישה חשובה בהשתתפות עובדים/ מנהלים/ לקוחות / משקיעים חשובים, לא ניתן להבטיח את זמינות השירות בתאריך היעד ! השירות עלול להיות לא זמין ואתם עלולים למצוא את עצמכם חסרי אונים ונבוכים.
  • נכון לכרגע, לא ניתן לבקש מ- Zoom למקם משתמשים משלמים על שרתים יעודיים. כמו כן לא ניתן לבקש מ Zoom למקם את השירות ללקוח מסויים במיקום גיאוגרפי הקרוב אליו.

 

לסיכום:

לצרכים פרטיים ולעסקים קטנים – Zoom הוא פתרון טוב מאוד. אנחנו בעצמנו משתמשים בו למטרות מוגדרות של פגישות קטנות ואירוח מיטאפים ו-וובינרים.
(אנחנו גם רשאים למכור מנויים של Zoom לארגונים שמעוניינים בכך – אנו מוכרים מנויים שנתיים בעסקאות של מעל 900 $ – וניתן לפנות אלינו לפרטים המצורפים בהמשך).

יחד עם זאת: אם אתם ארגון בינוני או גדול המחפש פתרון יציב המתאים לעשרות עד אלפי עובדים, כדאי לשקול פתרון שמותאם עבורכם. ולכן אנחנו מציעים מוצר מסחרי בשם TrueConf. זהו מוצר ותיק שנותן מענה לכל הנ"ל – ומאפשר לכם להנות משרת פרטי עם כל המשתמע מכך בהקשר לזמינות, ביצועים (4K), אבטחה ופרטיות, והכל באמצעות התקנה פשוטה (אנחנו התקנו כזה לעצמנו על data center מקומי בישראל כאשר בדקנו אותו לפני מספר שבועות). TrueConf מספק כל מה שיש ב- Zoom, ויותר. פרטים נוספים על TrueConf ניתן לקרוא כאן.

בנוסף סביר גם שתגלו שעלות TrueConf תהא נמוכה יותר משמעותית ביחס לתשלום ל- Zoom .

אנחנו גם יכולים לתת גישה להתנסות על הסביבה שאנו הקמנו לעצמנו (לארגונים שמעוניינים בכך).

למוצר גם גירסא חינמית לעד 12 איש (לא מוגבלת בזמן, וניתן גם להשתמש בה כ- "Plan B" אם Zoom לא יהיה זמין ברגע קריטי).

חדש: אנו גם מציעים כרגע שירות שאנו נשב אתכם (בשיחת וידאו) ונבנה לכם פתרון מהיר לשרת שיחות וידאו פרטי משלכם: נספק המלצות לפריסה, נתקין עבורכם ונספק לכם הדרכה אישית על השימוש בעלות סמלית של 1300 ₪ + מע"מ.

ניתן גם לפרוס את הפתרון בתצורת High Availability ולהגדיל אותו לשימוש של עשרות אלפי משתתפים בו-זמנית. אנו מציעים שירות תכנון ובניית פתרון כזה, גם כשירות מנוהל שלנו.

לפרטים נוספים התקשרו אלינו 072-240-5222 או פנו באימייל: remote@almtoolbox.com

 

קישורים רלבנטים (שהוזכרו לעיל):

  1. מתוך אתר The Intercept
  2. מתוך אתר כלכליסט
  3. מתוך אתר Motherboard
  4. מתוך אתר TechCrunch
  5. אתר DownDetector המדווח על תקלות ב- Zoom
  6. טיפים שלנו לעבודה עם Zoom
  7. כלים ושירותים שאנו מציעים לתמיכה בעבודה מהבית

 

שירותים, תמיכה, , , ,