Zoom continua a far parlare di sé per questioni di privacy: l'app di videochiamate di gruppo, la cui popolarità è schizzata alle stelle nelle ultime settimane causa quarantena . Motherboard ha scoperto che in alcune circostanze gli utenti possono visualizzare i dati personali di perfetti estranei, e nel frattempo sta crescendo il fenomeno del Zoom Bombing - in cui persone non autorizzate riescono a intrufolarsi nelle videoconferenze altrui disturbandole in vari modi.

FUGA DI DATI PERSONALI

Chi si registra con mail pubbliche poco diffuse - o comunque non filtrate da Zoom - rischia di vedere tutti gli utenti dell'app che usano lo stesso servizio di posta elettronica . Per esempio, un utente ha fornito a Motherboard lo screenshot della sua lista di "colleghi" (in realtà perfetti sconosciuti) che contava quasi 1.000 persone. È stata confermata l'assenza dai filtri di tre domini molto popolari nei Paesi Bassi, come xs4all.nl, dds.nl e quicknet.nl, che si possono paragonare ai nostri fastweb.it o libero.it. Zoom ha detto che i filtri vengono costantemente aggiornati e ha ringraziato per la segnalazione, ma il problema è che intanto la violazione c'è stata.

La violazione della privacy è causata dalla funzione Company Directory , che permette a un utente di visualizzare le informazioni generiche (nome, cognome, foto, email) di tutti i suoi colleghi. Per farlo, Zoom mostra all'utente tutti i contatti con lo stesso dominio del suo indirizzo email (la parte dopo alla @, per capirci), escludendo però chi possiede mail registrate con domini pubblici, come Gmail.com o Live.com. Il problema sta proprio in questi filtri, che non sembrano essere del tutto completi.

CIFRATURA END-TO-END

Il sito ufficiale di Zoom dice che tutte le videochiamate di gruppo sono rese sicure dalla cifratura end-to-end, tuttavia un'indagine di The Intercept ha svelato che le cose non stanno proprio così. Il servizio sfrutta la crittografia TLS, la stessa del protocollo HTTPS: in sostanza, vuol dire che i dati sono criptati nel trasporto dai dispositivi degli utenti al server della società, ma sui server sono immagazzinati "in chiaro". Comunemente, con cifratura end-to-end si intende che solo il destinatario del messaggio è in possesso della chiave per decifrarlo e leggerlo.

Contattata per chiarimenti, Zoom ha detto che la sua indicazione non è fuorviante perché considera i server della società come un endpoint. Nella pratica, però, visti i protocolli usati e analizzato il meccanismo di trasferimento dati, il livello di sicurezza è lo stesso offerto da servizi come Gmail o Facebook. Zoom dice che nessuno, dipendenti inclusi, possono accedere ai contenuti prodotti dall'utente, ma non è questo il punto: il punto è che, volendo, o essendo obbligata, quei contenuti potrebbe leggerli. Semplificando enormemente: se un hacker (o un governo) volesse spiare un meeting, con Zoom potrebbe, mentre con servizi basati sull'E2E "vero" no.

La cifratura end-to-end è estremamente difficile da realizzare in una videochiamata di gruppo, e difatti praticamente nessun servizio la offre: se Zoom dice di sì, e invece salta fuori che fa esattamente come tutti gli altri, non solo inganna l'utente, ma danneggia i concorrenti.