توافق نامه FTC برای بهبود امنیت به بزرگنمایی نیاز دارد

FTC از توافق جامع با بزرگنمایی در مورد بسیاری از کاستی های امنیتی خبر داد. به عنوان بخشی از توافق ، زوم هیچ یک از ادعاها را قبول یا رد نمی کند.

ادعاهای مربوط به مشکلات امنیتی شامل موارد امنیتی چشم نواز مانند ذخیره سازی ضبط های خصوصی در فضای ذخیره سازی ابر رمزگذاری نشده و نداشتن استراتژی های ساده برای کاهش ورود به سیستم بی رحمانه است.

این توافق نامه Zoom را ملزم به ایجاد تغییراتی می کند که برای بهبود امنیت در نظر گرفته شده است.

برخی از تغییرات فوق العاده اساسی هستند ، مانند کاهش حدس کلمه عبور نیروی بی رحمانه ، که باعث می شود فرد تعجب کند که آیا زوم منابع خاصی را برای امنیت کاربر اختصاص داده است یا خیر.

چندین مورد از مهمترین ادعاها علیه بزرگنمایی عبارتند از:

• کاربران را در سطح امنیت گمراه کرده است
• ذخیره رمزگذاری نشده ضبط شده در Cloud
• Safari Browser Security را دور بزنید
• افزایش خطر نظارت تصویری
• اطلاعیه های انتشار نرم افزار فریبنده

احساس امنیت کاذب

شکایت FTC ادعا می کند که زوم دست به عملیاتی زده است که به مصرف کنندگان احساس امنیت کاذب می دهد.

طبق FTC:

“در پست های متعدد وبلاگ ، زوم به طور خاص میزان رمزگذاری خود را دلیل استفاده مشتریان و مشتریان بالقوه از خدمات کنفرانس ویدیویی زوم عنوان کرد.

اندرو اسمیت ، مدیر دفتر حمایت از حقوق مصرف کنندگان FTC. “اقدامات امنیتی Zoom مطابق وعده های آن نبوده و این اقدام به شما اطمینان می دهد که از جلسات و داده های Zoom درباره کاربران Zoom محافظت می شود.”

بزرگنمایی احتمال افزایش خطر نظارت بر ویدئو

در شگفت آورترین ادعا ، FTC گفت که رویکرد Zoom به امنیت احتمال دسترسی غریبه ها به فیلم های خصوصی را افزایش می دهد.

FTC ادعا می کند:

“… زوم برای محافظت از امنیت کاربران هیچگونه اقدامات جبران کننده ای را اعمال نکرده و خطر نظارت ویدئو از راه دور توسط افراد غریبه را برای کاربران افزایش داد. این نرم افزار حتی پس از حذف برنامه بزرگنمایی در رایانه های کاربران باقی مانده و در برخی شرایط ، برنامه Zoom را بدون هیچ گونه اقدامی کاربر به طور خودکار دوباره نصب می کند.

این شکایت ادعا می کند که استفاده از Zoom در ZoomOpener ، بدون اطلاع کافی یا رضایت کاربر ، ناعادلانه بوده و قانون FTC را نقض کرده است. “

کاربران را در امنیت گمراه کرده است

FTC ادعا کرد که زوم وقتی به کاربران اطمینان می دهد “رمزگذاری 256 بیتی بین انتها به پایان” است ، در حالی که زوم از رمزگذاری کمتری استفاده می کرد ، به کاربران دروغ گفته است. رمزگذاری انتها به انتها زمانی است که داده های ارسالی در هر انتها ایمن باشد ، جایی که فقط کاربران می توانند به اطلاعات دسترسی پیدا کنند.

FTC ادعا می کند که این اصلاً چنین نبوده است ، که زوم قادر به ورود به جلسات خصوصی بزرگنمایی بوده و سطح حریم خصوصی افراد کمتر از تبلیغات آنها بوده است.

فضای ذخیره سازی ابر رمزگذاری نشده

شاید شگفت انگیزترین ادعا علیه بزرگنمایی این باشد که فیلم های خصوصی بدون رمزگذاری در ابر ذخیره می شوند.

این همان چیزی است که شکایت FTC ادعا کرد:

“زوم همچنین برخی از کاربران را که می خواستند جلسات ضبط شده را در فضای ذخیره سازی ابر شرکت ذخیره کنند با ادعای دروغین رمزگذاری آن جلسات بلافاصله پس از پایان جلسه ، گمراه کرد.

در عوض ، گفته می شود برخی از ضبط ها قبل از انتقال به حافظه ذخیره سازی امن ابر ، تا 60 روز بدون رمزگذاری در سرورهای Zoom ذخیره شده اند. “

توافقنامه پیشنهادی FTC

پیشنهاد FTC فعالیت های امنیتی زیادی را در خود جای داده است که Zoom باید آنها را رعایت کند. به نظر می رسد همه آنها کاملاً عقلانی و اساسی هستند.

در اینجا یک مرور کلی از الزامات امنیتی است:

• ارزیابی امنیتی سالانه
• راه هایی برای محافظت در برابر خطرات امنیتی ایجاد کنید
• یک برنامه مدیریت آسیب پذیری ایجاد کنید
• سیاست هایی برای محافظت در برابر حملات آنلاین ایجاد کنید
• محافظاتی در برابر دسترسی غیرمجاز به شبکه آن ایجاد کنید
• ارزیابی های امنیتی شخص ثالث دوسالانه

محافظت از هکرها

برخی از موارد مورد نیاز بسیار اساسی به نظر می رسند ، باید تعجب کرد که چرا Zoom برای شروع این ویژگی ها را نداشت. به عنوان مثال ، یکی از ویژگی ها محدود کردن نرخ در تلاش برای ورود به سیستم است.

محدود کردن نرخ ، فرآیند تشخیص زمان برنامه ای نرم افزاری به نام Bot با سرعت درخواست صفحات وب و مسدود کردن آنها از وب سایت است. مسدود کردن این نوع ربات ها از تلاش آنها برای حدس زدن رمز عبور جلوگیری می کند.

بسیاری از سیستم های مدیریت محتوای وب اشکال مختلف محدود کردن نرخ را دارند یا می توانند آن را با یک پلاگین داشته باشند. بنابراین بسیار تعجب آور است که Zoom مجبور به استفاده از این مورد می شود ، این نوعی از امنیت 101 سطح امنیتی است که همه سایت ها باید داشته باشند.

به عنوان مثال ، نرم افزار انجمن منبع آزاد معروف به phpBB دارای محدودیت اساسی در نرخ داخلی است که اقدامات ضد هرزنامه را قادر می سازد تا پس از تعداد مشخصی ورود به سیستم ، شروع به کار کنند.

ناشران وردپرس افزونه های بسیاری دارند که می تواند تعداد دفعاتی را که یک ربات می تواند سعی کند یک رمز عبور را حدس بزند و سپس دسترسی آنها به سایت را مسدود کند ، محدود کند.

FTC با درخواست از کاربران زوم برای استفاده از گذرواژه های قوی ، شروع به استفاده از روش های شناسایی ربات برای جلوگیری از حمله هکرها به سیستم ورود به سیستم ، تلاش برای ورود به سیستم برای محدود کردن نرخ و مجبور کردن ، زوم را مجبور به ایجاد سیاست هایی برای محافظت در برابر حملات آنلاین (مانند حملات حدس رمز عبور) می کند. در صورت به خطر افتادن اعتبار ، رمز عبور مجدداً تنظیم می شود.

همه موارد فوق اقدامات ضد هک معقولی هستند.

یک برنامه مدیریت آسیب پذیری ایجاد کنید

توافق FTC همچنین Zoom را ملزم می کند اقدامات امنیتی پیشگیرانه مانند اسکن امنیتی سه ماهه را انجام دهد و همچنین ارزیابی امنیتی و آزمایش استرس شخص ثالث را انجام دهد. تست استرس زمانی است که یک شرکت امنیتی سایت را برای مسائل امنیتی بازرسی و کاوش می کند.

FTC اسکن سه ماهه را به این ترتیب توصیف می کند:

“انجام اسکن های آسیب پذیری شبکه ها و سیستم های پاسخ دهنده حداقل به صورت فصلی …”

بزرگنمایی موافقت برای محافظت از کاربران از این به بعد

در کل ، این توافق نامه نیاز دارد که زوم وظایف و فعالیت های منطقی مربوط به امنیت را آغاز کند.

با توجه به اینکه زوم توسط شرکتهایی که امنیت آنها مهم است و همچنین مصرف کننده هایی که انتظار حفظ حریم شخصی دارند ، استفاده می شود ، این اقدامات باید کمک زیادی به جلوگیری از نقض امنیت اساسی کند ، که برای زوم و مشتریان آنها مفید است.

“زوم موافقت خود را با الزام ایجاد و اجرای یک برنامه جامع امنیتی ، منع حریم خصوصی و سوrepاستفاده های امنیتی و سایر تخفیف های دقیق و خاص برای محافظت از پایگاه کاربران خود اعلام کرده است که از 10 میلیون در دسامبر 2019 به 300 میلیون در آوریل افزایش یافته است. سال 2020 در طی همه گیر COVID-19. “

استناد

اعلامیه رسمی کمیسیون تجارت فدرال (FTC)

FTC برای بهبود اقدامات امنیتی خود به عنوان بخشی از حل و فصل ، به بزرگنمایی نیاز دارد