אפליקציית שיחות הווידיאו "זום" (Zoom), שזכתה לפופולריות רבה בעקבות המגפה, ניצבת כעת בפני ביקורת קשה בעקבות…
בו-וון שיאו | 12 באפריל 2020 | וירוס המק"ס (קורונה) | 4 דק׳
מאות אלפי ישראלים משתמשים ב"זום" – שמעבירה נתונים לסין
אפליקציית שיחות הווידיאו "זום" (Zoom), שזכתה לפופולריות רבה בעקבות המגפה, ניצבת כעת בפני ביקורת קשה בעקבות דוח מחקר שפורסם לאחרונה וגילוי נאות מצד מנכ"ל החברה כי חלק מהשיחות מנותבות דרך שרתים בסין.
ב-6 באפריל נודע כי משרד החינוך של העיר ניו יורק אסר על מורים להשתמש באפליקציה; ב-7 באפריל נאסר על קיום פגישות "זום" בכל משרדי הממשל בטייוואן עקב בעיות אבטחה; ב-8 באפריל אסרה גוגל על עובדי החברה להשתמש ב"זום" במחשבי החברה מחששות אבטחה; וב-10 באפריל אסרה סינגפור על שימוש באפליקציה במערכת החינוך שלה.
בארה"ב, קבוצת Citizen Lab הקנדית – מעבדה בין-תחומית באוניברסיטת טורונטו המתמקדת במחקר – בחנה את ההצפנה של תוכנת "זום" בזמן שיחות בדיקה מרובות שבוצעו. הקבוצה מצאה כי מפתחות ההצפנה והפענוח של הפגישות שודרו ישירות לשרתים בבייג'ינג. בדוח שפרסמה הקבוצה ב-3 באפריל נכתב: "אפליקציית 'זום' עושה שימוש בטכניקות קריפטוגרפיה לא סטנדרטיות עם חולשות שניתנות לזיהוי".
עוד נכתב בדוח: "אפליקציה עם מגבלות קריפטוגרפיה הניתנות לזיהוי בקלות, בעיות אבטחה ושרתים הממוקמים בסין לניהול מפתחות ההצפנה, מהווה מטרה ברורה למתקפה מצד מדינות בעלות משאבים מתאימים, לרבות הרפובליקה העממית של סין".
האפליקציה זכתה לפופולריות עצומה בשבועות האחרונים עקב הסגר, המאלץ אנשים לעבוד מהבית ולתקשר עם קרוביהם מרחוק. בחודש מארס הגיעה האפליקציה ליותר מ-200 מיליון משתמשים יומיים – עלייה מאסיבית מ-10 מיליון משתמשים יומיים בסוף דצמבר.
עוד נכתב בדוח כי בבעלותה של חברת "זום" שלוש חברות בסין. המטה המרכזי של החברה נמצא בסן חוזה שבקליפורניה. על פי רישומי הרשות לניירות ערך האמריקנית, החברה מעסיקה, באמצעות שלוחותיה בסין, לפחות 700 עובדים בסין העוסקים ב"מחקר ופיתוח". החוקרים ציינו כי הסדר זה עשוי לגרום לחברת "זום" להיכנע ללחצים מצד הרשויות בסין.
קייסי פלמינג, יו"ר ומנכ"ל חברת הייעוץ האסטרטגי לנושאי אבטחת סייבר BlackOps Partners, אמר לאפוק טיימס כי על האזרחים להיזהר מאוד מכל תוכנה או חומרה שנוצרו או מיוצרים בסין. "המפלגה הקומוניסטית הסינית (המק"ס) שולטת לחלוטין בכל הייצור בסין ומנצלת כל הזדמנות לגנוב קניין רוחני וחדשנות בכל דרך אפשרית… ריגול כלכלי הוא חלק מהלוחמה ההיברידית שמנהל המק"ס, שמטרתה להביס את ארה"ב, את הקפיטליזם ואת הדמוקרטיה. מטרתה בסופו של דבר לשלוט בעולם. העולם מתעורר כעת להבין עד כמה המפלגה הקומוניסטית הסינית באמת אכזרית ומרושעת, ומה הכוונות האמיתיות שלה. הפעולות וההצהרות האחרונות של המק"ס חושפות עובדה זאת".
פנינו לחברת "זום" לתגובה, אך עד כה לא נתקבלה כל תגובה מצדם.
זום מודה באשמה
מנכ"ל חברת "זום", אריק יואן (Eric Yuan), הודה בפוסט רשמי, שפרסם ב-3 באפריל בתגובה לדוח של Citizen Lab, כי החברה הוסיפה שני שרתים בסין "בטעות" כדי להיענות לזינוק הגדול במספר המשתמשים באפליקציה.
"מתוך תחושת דחיפות לעזור לאנשים ברחבי העולם במהלך מגפה חסרת תקדים זו, הוספנו שרתים ופרסנו אותם במהירות – החל בסין שבה התפרצה המגיפה", אמר יואן. "בתהליך הזה לא הצלחנו ליישם באופן מלא את שיטות העבודה שלנו לגידור גיאוגרפי. כתוצאה, ייתכן שפגישות מסוימות הורשו להתחבר למערכות בסין, אליהן הן לא היו אמורות להתחבר".
בהמשך הפוסט כותב יואן כי בפברואר, זום הוסיפה שניים ממרכזי הנתונים (דטה סנטר) שלה בסין ל"רשימה לבנה מורחבת של גשרי גיבוי, דבר שעלול לאפשר ללקוחות מחוץ לסין להתחבר אליהם – בנסיבות מוגבלות ביותר (כלומר כאשר השרתים העיקריים מחוץ לסין אינם זמינים)".
עוד הוסיף כי עם היוודע לחברה על הבעיה, היא "מיד הסירה את מרכזי הנתונים בסין מהרשימה הלבנה של גשרי גיבוי משניים (עבור משתמשים מחוץ לסין)".
בריאיון שקיים ב-2017 באתר Medium, אמר יואן כי הוא החליט לעבור לארה"ב באמצע שנות ה-90 עקב גל האינטרנט שלא המריא בסין באותה עת. לדבריו, הוא קיבל ויזה לארה"ב רק לאחר הניסיון התשיעי. "בפעם הראשונה שהגשתי בקשה לוויזה לארה"ב בקשתי נדחתה", סיפר יואן בריאיון. "המשכתי להגיש בקשות שוב ושוב במשך שנתיים, ולבסוף קיבלתי את הוויזה שלי בניסיון התשיעי".
ה-FBI הזהיר גם הוא מפני חולשות האבטחה של "זום" בהודעה שפורסמה בחודש מארס. בהודעה נכתב כי התקבלו דיווחים על שיחות וידיאו שנפרצו על ידי האקרים ששידרו למשתמשים תמונות פורנוגרפיות ו/או תמונות שנאה ושפה מאיימת. משרד המשפטים האמריקני פרסם גם הוא הודעה דומה.
ב-3 באפריל, קבוצה של 19 מחוקקים בארה"ב שלחה מכתב ליואן, מנכ"ל "זום", בבקשה "לשפוך אור" על נוהגי איסוף הנתונים של החברה, לרבות מידע על נוכחות משתתפים, הקלטות שהועלו לענן והפקת תמלולים אוטומטיים של פגישות.
אטילה תומאשק, מומחה לפרטיות מידע בחברת ProPrivacy הבריטית, אמר לנו בריאיון כי "זום" מתמודדת כעת עם ביקורת קשה בעקבות קוצר הראייה הבלתי מוסבר שלה בנוגע לפרטיות משתמשים ולאבטחה הכוללת של הפלטפורמה שלה: "בייג'ינג יכולה תיאורטית לדרוש שמפתחות ההצפנה של השיחות יועברו לפיענוח הרשויות הסיניות, מה שיעניק לה גישה מלאה לתכני השיחות ויכולת להאזין לשיחות פרטיות […] כאשר החברה מוסרת את מפתחות ההצפנה למשטר אוטוריטרי, אלה בעיות גדולות".
בתוך כך ספגה זום תביעה ייצוגית מאחד מבעלי המניות שלה, מייקל דריו (Michael Drieu), המאשים את החברה כי לא עמדה בנהלי מדיניות הפרטיות הרשמית שלה ושהשירות שלה אינו מוצפן מקצה לקצה.
מעורר מחשבה? לתגובות ומחשבות ניתן לכתוב לנו ל:
לחץ כאן
מייסד ומנכ"ל זום, אריק יואן, חוגג את הנפקת החברה בנאסד"ק, אפריל 2019. צילום: Kena Betancur/Getty Images
בו-וון שיאו
עוד כתבות בוירוס המק"ס (קורונה)
-
יותר מ-130 אלף מאומתים לקורונה בסין, ואף לא אדם אחד מת
אווה פו
-
מדענים מובילים בעולם קוראים לקיים חקירה מעמיקה באשר למקור נגיף הקורונה
אווה פו
-
מסמכים שהודלפו: בסין היו חולים עם תסמיני קורונה מספר חודשים לפני הפרסומים הרשמיים
אווה פו
-
דברי הנשיא טראמפ על נקיטת פעולות נגד סין
צוות אפוק
-
ראיון מיוחד עם סטיב באנון: "שי ג'ין-פינג וסגנו צריכים להבין: כל נכסיהם יוחרמו"
סימון גאו
מאות אלפי ישראלים משתמשים ב"זום" – שמעבירה נתונים לסין
אפליקציית שיחות הווידיאו "זום" (Zoom), שזכתה לפופולריות רבה בעקבות המגפה, ניצבת כעת בפני ביקורת קשה בעקבות…
בו-וון שיאו | 12 באפריל 2020 | וירוס המק"ס (קורונה) | 8 דק׳
מייסד ומנכ"ל זום, אריק יואן, חוגג את הנפקת החברה בנאסד"ק, אפריל 2019. צילום: Kena Betancur/Getty Images
אפליקציית שיחות הווידיאו "זום" (Zoom), שזכתה לפופולריות רבה בעקבות המגפה, ניצבת כעת בפני ביקורת קשה בעקבות דוח מחקר שפורסם לאחרונה וגילוי נאות מצד מנכ"ל החברה כי חלק מהשיחות מנותבות דרך שרתים בסין.
ב-6 באפריל נודע כי משרד החינוך של העיר ניו יורק אסר על מורים להשתמש באפליקציה; ב-7 באפריל נאסר על קיום פגישות "זום" בכל משרדי הממשל בטייוואן עקב בעיות אבטחה; ב-8 באפריל אסרה גוגל על עובדי החברה להשתמש ב"זום" במחשבי החברה מחששות אבטחה; וב-10 באפריל אסרה סינגפור על שימוש באפליקציה במערכת החינוך שלה.
בארה"ב, קבוצת Citizen Lab הקנדית – מעבדה בין-תחומית באוניברסיטת טורונטו המתמקדת במחקר – בחנה את ההצפנה של תוכנת "זום" בזמן שיחות בדיקה מרובות שבוצעו. הקבוצה מצאה כי מפתחות ההצפנה והפענוח של הפגישות שודרו ישירות לשרתים בבייג'ינג. בדוח שפרסמה הקבוצה ב-3 באפריל נכתב: "אפליקציית 'זום' עושה שימוש בטכניקות קריפטוגרפיה לא סטנדרטיות עם חולשות שניתנות לזיהוי".
עוד נכתב בדוח: "אפליקציה עם מגבלות קריפטוגרפיה הניתנות לזיהוי בקלות, בעיות אבטחה ושרתים הממוקמים בסין לניהול מפתחות ההצפנה, מהווה מטרה ברורה למתקפה מצד מדינות בעלות משאבים מתאימים, לרבות הרפובליקה העממית של סין".
האפליקציה זכתה לפופולריות עצומה בשבועות האחרונים עקב הסגר, המאלץ אנשים לעבוד מהבית ולתקשר עם קרוביהם מרחוק. בחודש מארס הגיעה האפליקציה ליותר מ-200 מיליון משתמשים יומיים – עלייה מאסיבית מ-10 מיליון משתמשים יומיים בסוף דצמבר.
עוד נכתב בדוח כי בבעלותה של חברת "זום" שלוש חברות בסין. המטה המרכזי של החברה נמצא בסן חוזה שבקליפורניה. על פי רישומי הרשות לניירות ערך האמריקנית, החברה מעסיקה, באמצעות שלוחותיה בסין, לפחות 700 עובדים בסין העוסקים ב"מחקר ופיתוח". החוקרים ציינו כי הסדר זה עשוי לגרום לחברת "זום" להיכנע ללחצים מצד הרשויות בסין.
קייסי פלמינג, יו"ר ומנכ"ל חברת הייעוץ האסטרטגי לנושאי אבטחת סייבר BlackOps Partners, אמר לאפוק טיימס כי על האזרחים להיזהר מאוד מכל תוכנה או חומרה שנוצרו או מיוצרים בסין. "המפלגה הקומוניסטית הסינית (המק"ס) שולטת לחלוטין בכל הייצור בסין ומנצלת כל הזדמנות לגנוב קניין רוחני וחדשנות בכל דרך אפשרית… ריגול כלכלי הוא חלק מהלוחמה ההיברידית שמנהל המק"ס, שמטרתה להביס את ארה"ב, את הקפיטליזם ואת הדמוקרטיה. מטרתה בסופו של דבר לשלוט בעולם. העולם מתעורר כעת להבין עד כמה המפלגה הקומוניסטית הסינית באמת אכזרית ומרושעת, ומה הכוונות האמיתיות שלה. הפעולות וההצהרות האחרונות של המק"ס חושפות עובדה זאת".
פנינו לחברת "זום" לתגובה, אך עד כה לא נתקבלה כל תגובה מצדם.
זום מודה באשמה
מנכ"ל חברת "זום", אריק יואן (Eric Yuan), הודה בפוסט רשמי, שפרסם ב-3 באפריל בתגובה לדוח של Citizen Lab, כי החברה הוסיפה שני שרתים בסין "בטעות" כדי להיענות לזינוק הגדול במספר המשתמשים באפליקציה.
"מתוך תחושת דחיפות לעזור לאנשים ברחבי העולם במהלך מגפה חסרת תקדים זו, הוספנו שרתים ופרסנו אותם במהירות – החל בסין שבה התפרצה המגיפה", אמר יואן. "בתהליך הזה לא הצלחנו ליישם באופן מלא את שיטות העבודה שלנו לגידור גיאוגרפי. כתוצאה, ייתכן שפגישות מסוימות הורשו להתחבר למערכות בסין, אליהן הן לא היו אמורות להתחבר".
בהמשך הפוסט כותב יואן כי בפברואר, זום הוסיפה שניים ממרכזי הנתונים (דטה סנטר) שלה בסין ל"רשימה לבנה מורחבת של גשרי גיבוי, דבר שעלול לאפשר ללקוחות מחוץ לסין להתחבר אליהם – בנסיבות מוגבלות ביותר (כלומר כאשר השרתים העיקריים מחוץ לסין אינם זמינים)".
עוד הוסיף כי עם היוודע לחברה על הבעיה, היא "מיד הסירה את מרכזי הנתונים בסין מהרשימה הלבנה של גשרי גיבוי משניים (עבור משתמשים מחוץ לסין)".
בריאיון שקיים ב-2017 באתר Medium, אמר יואן כי הוא החליט לעבור לארה"ב באמצע שנות ה-90 עקב גל האינטרנט שלא המריא בסין באותה עת. לדבריו, הוא קיבל ויזה לארה"ב רק לאחר הניסיון התשיעי. "בפעם הראשונה שהגשתי בקשה לוויזה לארה"ב בקשתי נדחתה", סיפר יואן בריאיון. "המשכתי להגיש בקשות שוב ושוב במשך שנתיים, ולבסוף קיבלתי את הוויזה שלי בניסיון התשיעי".
ה-FBI הזהיר גם הוא מפני חולשות האבטחה של "זום" בהודעה שפורסמה בחודש מארס. בהודעה נכתב כי התקבלו דיווחים על שיחות וידיאו שנפרצו על ידי האקרים ששידרו למשתמשים תמונות פורנוגרפיות ו/או תמונות שנאה ושפה מאיימת. משרד המשפטים האמריקני פרסם גם הוא הודעה דומה.
ב-3 באפריל, קבוצה של 19 מחוקקים בארה"ב שלחה מכתב ליואן, מנכ"ל "זום", בבקשה "לשפוך אור" על נוהגי איסוף הנתונים של החברה, לרבות מידע על נוכחות משתתפים, הקלטות שהועלו לענן והפקת תמלולים אוטומטיים של פגישות.
אטילה תומאשק, מומחה לפרטיות מידע בחברת ProPrivacy הבריטית, אמר לנו בריאיון כי "זום" מתמודדת כעת עם ביקורת קשה בעקבות קוצר הראייה הבלתי מוסבר שלה בנוגע לפרטיות משתמשים ולאבטחה הכוללת של הפלטפורמה שלה: "בייג'ינג יכולה תיאורטית לדרוש שמפתחות ההצפנה של השיחות יועברו לפיענוח הרשויות הסיניות, מה שיעניק לה גישה מלאה לתכני השיחות ויכולת להאזין לשיחות פרטיות […] כאשר החברה מוסרת את מפתחות ההצפנה למשטר אוטוריטרי, אלה בעיות גדולות".
בתוך כך ספגה זום תביעה ייצוגית מאחד מבעלי המניות שלה, מייקל דריו (Michael Drieu), המאשים את החברה כי לא עמדה בנהלי מדיניות הפרטיות הרשמית שלה ושהשירות שלה אינו מוצפן מקצה לקצה.
מעורר מחשבה? לתגובות ומחשבות ניתן לכתוב לנו ל:
לחץ כאן
