El compromiso de Zoom con la seguridad del usuario depende de si lo paga o no


El compromiso de Zoom con la seguridad del usuario depende de si lo paga o no

A Zoom le iba muy bien … Y ahora tenemos esta:

Los clientes corporativos tendrán acceso al servicio de cifrado de extremo a extremo de Zoom que se está desarrollando actualmente, pero Yuan dijo que los usuarios gratuitos no disfrutarán de ese nivel de privacidad, lo que hace que sea imposible que terceros descifren las comunicaciones.

«Los usuarios gratuitos están seguros de que no queremos dar eso porque también queremos trabajar junto con el FBI, con la policía community en caso de que algunas personas usen Zoom para un mal propósito», dijo Yuan en la llamada.

Esto es simplemente tonto. Envision la escena en el escondite terrorista / narcotraficante / lavador de dinero: «Lo siento, jefe. Podríamos tener un cifrado fuerte para asegurar nuestras malas intenciones del FBI, pero nosotros no puede pagar los $ 20«Esta decisión solo afectará a manifestantes y disidentes, trabajadores de derechos humanos y periodistas.

Aquí hay asesor Alex Stamos haciendo command de daños:

Nico, es incorrecto decir que las llamadas gratuitas no se cifrarán y esto resulta ser un acto de equilibrio realmente difícil entre los diferentes tipos de daños. Más detalles aquí:

Algunos datos sobre los planes actuales de Zoom para el cifrado E2E, que son complicados por los requisitos del producto para un producto de conferencia empresarial y algunos problemas de seguridad legítimos. El diseño E2E está disponible aquí: https://github.com/zoom/zoom-e2e-whitepaper/blob/master/zoom_e2e.pdf

Leí ese documento y no explica por qué el cifrado de extremo a extremo solo está disponible para los clientes que pagan. Y tenga en cuenta que Stamos dijo «cifrado» y no «cifrado de extremo a extremo». El sabe la diferencia.

De todos modos, la gente tenía razón indignado por sus comentarios. Y ayer trató de aclarar

Yuan intentó calmar las preocupaciones de los usuarios el miércoles en su seminario internet semanal, diciendo que la compañía se esforzaba por «hacer lo correcto» para los grupos vulnerables, incluidos los niños y las víctimas de delitos de odio, cuyo abuso a veces se transmite a través de la plataforma de Zoom.

«Planeamos proporcionar cifrado de extremo a extremo a los usuarios para los cuales podemos verificar la identidad, limitando así el daño a los grupos vulnerables», dijo. «Quería aclarar que Zoom no supervisa el contenido de la reunión. No tenemos puertas traseras donde los participantes, incluidos los empleados de Zoom o la policía, puedan ingresar a las reuniones sin ser visibles para los demás. Nada de esto cambiará».

Tenga en cuenta que específicamente no dijo que estaba ofreciendo cifrado de extremo a extremo a los usuarios de la plataforma gratuita. Solo para «usuarios que podemos identificar», lo que supongo que significa usuarios que le dan un número de tarjeta de crédito.

El feed de Twitter fue very similar descuidadamente evasivo:

Hoy estamos viendo algunos malentendidos en Twitter sobre nuestro cifrado. Queremos proporcionar estos hechos.

Zoom no proporciona información a la policía, excepto en circunstancias como el abuso sexual infantil.

Zoom no supervisa de forma proactiva el contenido de la reunión.

Zoom no tiene puertas traseras donde Zoom u otros puedan ingresar a las reuniones sin ser visibles para los participantes.

El cifrado AES 256 GCM está activado para todos los usuarios de Zoom, de forma gratuita y de pago.

Esos hechos no tienen nada que ver con ningún «malentendido». Eso fue sobre el cifrado de extremo a extremo, que dejaste muy específicamente en esa última oración. No creo que haya ningún malentendido. Las comunicaciones corporativas han sido claras y consistentes.

Vamos, Zoom. Lo estabas haciendo muy bien. Por supuesto, debe ofrecer funciones quality a los clientes que pagan, pero no incluya seguridad y privacidad en esas funciones high quality. Deben estar disponibles para todos.

Y, oye, es un momento tonto para ponerse del lado de la policía sobre los manifestantes.

Le envié un correo electrónico al CEO y le informaré si tengo noticias. Pero por ahora, suponga que la versión gratuita de Zoom no admitirá el cifrado de extremo a extremo.

Publicado el 4 de junio de 2020 a las 6:24 a.m.

2 comentarios





Enlace a la noticia first