Muita gente tá tendo que desenvolver atividades home office durante a pandemia que estamos vivendo e isso gerou o boom de crescimento de diversos programas de videoconferência, como o Zoom e o Whereby, dentro outros. O Zoom é o que mais tá em uso atualmente e vem sendo usado tanto por universidades que tentam manter suas atividades à distância (com transmissão de dados não sensíveis, que não necessariamente precisam ser anônimos) como por órgãos e empresas grandes, sejam públicas ou privadas (havendo maior chance de transmissão de dados sensíveis).
O Zoom teve um crescimento na base de usuários diários de 20x. Ou seja, antes da pandemia a quantidade de usuários ativos por dia na plataforma era de 10 milhões e hoje são 200 milhões. Outras plataformas também tiveram incremento de uso, o que é natural.
Isso trouxe o foco para o Zoom de diversos agentes, e dentre eles o que a mídia costuma chamar de hackers (um termo ruim já que hacker não é o que nós conhecemos por hacker), que seriam usuários mal intencionados.
Começou a chover casos pelo mundo de conferência "invadida" por esses usuários mal intencionados, não só no Zoom como em outros, com o envio de conteúdo impróprio para a conferência como vídeos de pornografia. Também teve relato de diversas organizações de segurança em tecnologia que identificaram diversos problemas na política de privacidade do Zoom além de outras atividades que a um primeiro momento ninguém sabia que aconteceria como o envio de dados dos usuários para plataformas como o Facebook enviarem publicidade (nada desconhecido, muita empresa faz isso e é algo que tá sendo mais fiscalizado por meio das leis mundiais de proteção de dados).
Mas afinal, o que aconteceu e quais os problemas?
Naturalmente, muitos dos problemas só estão em alta na mídia por conta da explosão de usuários, e mais gente usando, mais exposição dos problemas pode acontecer.
O que já se sabe dos problemas da plataforma:
- já foi dito acima um deles que é o que chamam de bombing, que é esse bombardeio de usuários não esperados ou conteúdo impróprio em conferências que estão em curso. Aparentemente aqui há culpa tanto da plataforma mas a meu ver é mais culpa do usuário admin por não usar as ferramentas que podem barrar isso como registrar senha para entrada na conferência, barrar o compartilhamento de tela dos participantes, colocá-los em uma fila na sala de espera e ir admitindo um a um antes da conferência, fechar a conferência após iniciada, barrando qualquer pessoa de entrar (há desvantagens mas é uma saída), barra o envio de arquivos, etc. Então nesse caso o admin pode atuar evitando esses problemas.
- um admin de uma conferência podia ter acesso a dados dos participantes como endereço de IP, sistema operacional, localização do usuário, registros das conferências. Parece que essa feature foi cancelada pelo Zoom.
- o app para iOS parecia ser o maior problema de envio de dados para o Facebook sem consentimento do usuário. Depois que isso saiu na mídia a empresa disse ter removido essa parte do código e disse que não acontece mais esse problema.
- algumas revistas de tecnologia descobriram coisas mais alarmantes como o fato de usuários de Windows estarem vulneráveis a roubo de senhas armazenadas no computador, ou o vazamento de dados como fotos e e-mail, o que pode fazer com que esses dados cheguem a usuários mal intencionados. Outra revista descobriu um bug que permite que outra pessoa pode instalar um malware usando o Zoom e ter acesso ao sistema operacional do usuário, podendo controlar webcam e microfone. Não sei até que ponto isso ainda acontece e quanto a empresa já resolveu, mas o que posso dizer é que o fato de ela estar nos holofotes e, aparentemente, se mexendo, talvez esses problemas sejam resolvidos. Mas enquanto não são resolvidos, eu, como usuário, não usaria o Zoom por enquanto.
- havia um problema no processo de instalação do Zoom em MacOS. O programa era instalado praticamente como um malware o que podia gerar falhas de segurança no sistema mas esse problema parece ter sido resolvido.
Outros problemas foram relatados mas pra não me estender muito vou parar nesses já expostos.
O que eu acho disso tudo, agora falando como usuário de serviços de tecnologia:
- usamos diversos outros serviços que vendem nossos dados para empresas nos bombardearem com publicidade. Essa parte pra mim não é tanto o maior problema já que isso já acontece com diversas outras plataformas.
- os problemas de controle de acesso do sistema por usuários mal intencionados usando a plataforma me alarmou. Não fui a fundo estudar sobre porque foram muitos problemas de segurança relatados, mas alguns parecem já terem sido resolvidos, como o roubo da senha do Windows pelo Zoom (sim, isso tava acontecendo). Essa parte foi a que mais me assustou e me faria não usar a plataforma, pelo menos por enquanto.
- todo aplicativo ou plataforma web pode apresentar falhas de segurança. Se nenhuma apresentou falha ainda é porque não foi usada tanto assim. Os diversos aplicativos mobile que temos nos nossos celulares podem apresentar falhas de segurança e vazamento de dados tanto quanto os problemas do Zoom. O que me parece que tá acontecendo é que a empresa tá atuante em resolver os problemas, mas muitos ainda estão sem solução até o momento. Na minha opinião isso vai fazer com que a empresa traga uma plataforma mais segura nos próximos dias / meses. Mas enquanto isso não acontece, eu procuraria outra alternativa, como o Jitsi (
Jitsi.org - develop and deploy full-featured video conferencing).
- parte dos problemas de segurança eram falhas dos próprios admin das conferências. Espero que esse bombardeio de problemas faça com que as pessoas pensem mais na segurança das próprias conferências a partir de agora. Não dá pra culpar o Google pelo fato de usuários terem contas de e-mail invadidas se os mesmos usuários criaram senhas para seus e-mails estilo "123456".
Em resumo: falhas aconteceram, a empresa tá correndo atrás pra consertar, parte das falhas é culpa dos usuários mas a maior parte não, é culpa da empresa mesmo, mas esse "correr atrás" pode fazer com que tenhamos uma plataforma mais segura em breve. Enquanto isso não acontece, eu preferiria não usar a plataforma.
