Preocupados com problemas de segurança da plataforma Zoom, a associação PrivacyLx (Defend our Privacy Association) partilha o conteúdo do email enviado ao Centro Nacional de Cibersegurança no dia 15 de Maio de 2020 por nao ter sido prestado qualquer esclarecimento ou resposta à data de publicação.
Abaixo segue-se o email na sua versão original.
Exmos.(as). Senhores(as) do Centro Nacional de Cibersegurança,
O inesperado surto de COVID-19 que alastra sob a forma de pandemia e que nos conduziu ao confinamento social e ao teletrabalho, levou-nos à procura de soluções que permitissem manter relações e comunicações com o mundo exterior, nomeadamente as plataformas de videoconferência. É este o âmbito que trouxe a crescente adoção da plataforma Zoom, levantando a sérias preocupações em torno da Segurança e Privacidade.
Preocupados com problemas de segurança e privacidade de plataformas de videocoferências, a associação PrivacyLx (Defend our Privacy Association, NIPC 515584550) mostra uma certa apreensão com a inclusão plataforma Zoom na lista de boas práticas (1) publicada no V. website.
Estamos cientes da boa intenção do Centro Nacional de Cibersegurança, uma vez que é largo o universo de utilizadores e, sendo esta a realidade, o devem fazer da forma mais segura. Contudo, inquieta-nos que a adoção de tais medidas transmita a sensação de segurança, ainda que falsa, nomeadamente:
a fraca qualidade da encriptação (2) e publicidade enganosa relativo ao tipo de segurança (3);
por alegadas práticas de denvolvimento semelhantes às de malware (4) (5) incluir funcionalidades não desejáveis e vulneráveis para o utilizador (6);
a existência de zero-days dos últimos meses e que não têm sido apropriadamente reportadas como CVEs.
Ainda, é manifesto nos vários exemplos o desrespeito pela privacidade, tais como:
a partilha de dados pessoais com terceiros sem conhecimento do utilizador (7);
a desproporção de dados obtidos do utilizador, como a monitorização da atenção (8) e o controlo de cliques (9).
Assim, partilhamos das preocupações que levaram diversas entidades dos EUA a desaprovar a plataforma Zoom, como: o senado (10), o ministério da defesa (11), o FBI (12), instituições de ensino de Nova York (13) e os próprios acionistas - com acusações de fraude (14) e ações judiciais interpostas (15); e como tal, consideramos que os cidadãos devem ser assertivamente informados (16).
Por fim, propomos o desencorajamento da plataforma Zoom e como alternativa o uso de instâncias jitsi (17), Big Blue Button (software open source) (18) fácilmente integrável com moodle (19) que já corretamente recomendam na lista de boas práticas (1).
Atenciosamente,
(PrivacyLx)
(1) «Boas práticas» ~Fonte: https://www.cncs.gov.pt/recursos/boas-praticas/
(2) «Move Fast and Roll Your Own Crypto» ~Fonte: https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
(3) «Zoom Meetings Aren’t End-to-End Encrypted, Despite Misleading Marketing» ~Fonte: https://theintercept.com/2020/03/31/zoom-meeting-encryption/
(4) «‘Zoom is malware’: why experts worry about the video conferencing platform» ~Fonte: https://www.theguardian.com/technology/2020/apr/02/zoom-technology-security-coronavirus-video-conferencing
(5) «Good Apps Behaving Badly: Dissecting Zoom’s macOS Installer Workaround» ~Fonte: https://www.vmray.com/cyber-security-blog/zoom-macos-installer-analysis-good-apps-behaving-badly/
(6) «Apple has pushed a silent Mac update to remove hidden Zoom web server» ~Fonte: https://techcrunch.com/2019/07/10/apple-silent-update-zoom-app/
(7) «Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account» ~Fonte: https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
(8) «Using Zoom? Here are the privacy issues you need to be aware of» ~Fonte: https://protonmail.com/blog/zoom-privacy-issues/
(9) «Zoom is a work-from-home privacy disaster waiting to happen» ~Fonte: https://mashable.com/article/zoom-conference-call-work-from-home-privacy-concerns/
(10) «US Senate tells members not to use Zoom» ~Fonte: https://arstechnica.com/tech-policy/2020/04/us-senate-tells-members-not-to-use-zoom/
(11) «Concern over Zoom video conferencing after MoD bans it over security fears» ~Fonte: https://metro.co.uk/2020/03/25/concern-zoom-video-conferencing-mod-bans-security-fears-12455327/
(12) «FBI Warns of Teleconferencing and Online Classroom Hijacking During COVID-19 Pandemic» ~Fonte: https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic
(13) «NY schools ban Zoom, adopt Microsoft Teams» ~Fonte: https://www.msn.com/en-in/finance/news/ny-schools-ban-zoom-adopt-microsoft-teams/ar-BB12dGjM
(14) «Zoom shareholder accuses executives of fraud over security practices» ~Fonte: https://www.cyberscoop.com/zoom-shareholder-accuses-executives-fraud-security-practices/
(15) «Zoom sued for overstating, not disclosing privacy, security flaws» ~Fonte: https://www.reuters.com/article/us-zoom-video-commn-privacy-lawsuit-idUSKBN21Q10V
(16) «What You Should Know About Online Tools During the COVID-19 Crisis» ~Fonte: https://www.eff.org/deeplinks/2020/03/what-you-should-know-about-online-tools-during-covid-19-crisis
(17) Lista de instância https://ladatano.partidopirata.com.ar/jitsimeter/
(18) Big Blue Button: https://bigbluebutton.org/
(19) Moodle plugins directory: BigBlueButtonBN: https://moodle.com/certified-integrations/bigbluebutton/