اتصل بنا للحصول على مزيد من المعلومات

حماية البيانات

Zoom: تسربت ممارسات مشبوهة على Github.

SHARE:

تم النشر

on

نجح برنامج مؤتمرات الفيديو عن بعد ZOOM، الذي اكتسب شعبية فجأة أثناء الوباء، في تجاوز برامج مؤتمرات الفيديو التقليدية مثل Skype وTeams، وأصبح الأداة الأكثر شعبية. لديه مئات الملايين من المستخدمين النشطين يوميًا، ويتم استخدامه من قبل العديد من الوكالات الحكومية. ومع ذلك، فقد تعرض البرنامج مرارًا وتكرارًا لتسريب البيانات ونقاط الضعف الأمنية واحدة تلو الأخرى، الأمر الذي اجتذب اهتمامًا واسع النطاق من السلطات التنظيمية.

مؤخرًا، في 30 مايو، ادعى شخص ما أنه أحد كبار الفنيين في ZOOM نشر مستودعًا على Github يعرض "الأدلة" أن الشركة تقوم بحفظ معلومات المستخدم بشكل سري وتقدمها للمؤسسات الحكومية في الولايات المتحدة.


لا يتمتع مستخدمو ZOOM باستقلالية البيانات.

بحسب المسرب: "طلبت حكومة الولايات المتحدة من Zoom الاحتفاظ ببيانات المستخدم ذات الأهمية، بما في ذلك تلك التي حذفها المستخدمون بالفعل حتى يتمكنوا من الحصول على جميع بيانات المستخدم. ومن أجل تلبية مثل هذه الطلبات، قامت Zoom بتعديل أداتها للتظاهر بأن البيانات قد تم حذفها بينما فقط إعطاء البيانات المحذوفة خاصية مخفية، وبالتالي الحفاظ على بيانات المستخدم مع جعل مستخدميها يعتقدون أنه تم مسح البيانات. تساعد هذه الأداة على نسخ وحفظ بيانات سجل الاجتماعات وتفاصيل المشاركين، والتسجيلات السحابية، ورسائل الدردشة، والصور، والملفات، وZuora (. نظام الفواتير، zuora.com)، SFDC (نظام CRM، salesforce.com)، الهاتف/العنوان، عنوان الفواتير، وبطاقات الائتمان/الدين من خلال استنساخ البيانات ونسخها والأسوأ من ذلك، إذا تمت إضافة حسابك إلى "الحفاظ على البيانات". النظام مع ظهورك في قائمة الأهداف، حتى لو لم تقدم أي سلوك غير قانوني، فسيتم وضع جميع أفعالك في Zoom تحت المراقبة المباشرة وتحت تصرف إدارات إنفاذ القانون مجانًا."


مراقبة المستخدمين من خلال نظام الباب الخلفي (نظام التتبع الآلي لمخالفي شروط الخدمة).

بحسب الوثيقة المنشورة: "أكمل المقر الرئيسي لشركة Zoom البحث والتطوير لنظام المراقبة السري منذ وقت طويل. يطلق عليه "نظام التتبع الآلي لمخالفي TOS" وعنوان IP الداخلي الخاص به هو "se.zipow.com/tos". في موعد لا يتجاوز عام 2018، تم وضع النظام موضع التنفيذ، لمراقبة المستخدمين المجانيين وكذلك المستخدمين المميزين ومستخدمي المؤسسات. تتمثل الوظائف الرئيسية للنظام في البحث التلقائي عن الاجتماعات الحساسة، والوصول المجاني إلى الاجتماعات بدون كلمة مرور أو تصريح المضيف ببساطة عن طريق الباب الخلفي للنظام، والتحليل العشوائي لمحتوى الفيديو من الاجتماعات، والتسجيلات السرية لمقاطع الفيديو والصوت ولقطات الشاشة للاجتماعات وإنتاج التقارير أو البيانات وفقًا لذلك إلى الإدارات الإشرافية الأمريكية بالإضافة إلى إنهاء الاجتماعات الحساسة وحظر الحسابات ذات الصلة. النظام سري للغاية ومفتوح فقط لعدد قليل من الموظفين الداخليين. قد يفسر Zoom أن هذا النظام تم تطويره لمحاربة الجريمة، لكن يجب على Zoom أن تعترف بأن النظام يظهر أن لديه القدرة على مراقبة المستخدمين وهو يفعل ذلك بالفعل. يحتاج الناس إلى القلق بشأن ما إذا كان Zoom سيسيء استخدام النظام لما يسمى "الأمن القومي" الأمريكي أو لأغراض تجارية، وحتى بشكل عشوائي، وفي كثير من الأحيان، يراقب المستخدمين العالميين بشكل لا يمكن تمييزه ويسرق بياناتهم الشخصية على نطاق واسع.


تكبير نظام الإدارة الخلفية.

بحسب التسريب: "يتمتع نظام إدارة Zoom الخلفي بسلطة عليا على جميع حسابات Zoom. إنه مصمم للمساعدة في إدارة حسابات مستخدمي Zoom. ومع ذلك، يحتوي هذا النظام على بعض وظائف الباب الخلفي التي قد تنتهك بيانات خصوصية المستخدم. بعض الوظائف تفوق الخيال، فعندما يقوم موظف Zoom بالنقر فوق زر "تسجيل الدخول"، باستخدام بيانات اعتماد المستخدم هذه، يمكنه تسجيل الدخول إلى حساب هذا المستخدم بنفس الطريقة التي يتعامل بها المستخدم نفسه مع حسابه الخاص. وبهذه الطريقة، يكون للموظف نفس الحق في التعامل مع حساب هذا المستخدم، والتحقق من كل شيء في الحساب، واستخدام المفتاح الخاص للمستخدم لرؤية أي ملفات سرية وسجلات الاجتماعات ومحادثات المراسلة الفورية ورسائل البريد الإلكتروني وتسجيلات الهاتف والفواتير. وهذا يعني أن إجراء التشفير "ee2e" هو واجهة لا معنى لها. إلى جانب هذا الامتياز، يمكن لموظفي Zoom تعديل أو حذف البيانات المحلية للمستخدمين، وحتى التحكم عن بعد أو زرع باب خلفي على الأجهزة النسبية مثل Zoom Room من خلال هذا النظام. ومقارنة بإدارة حسابات المستخدمين من خلال قاعدة بيانات مدعومة، فإن هذا النظام يجعل الأمر أكثر ملاءمة لموظفي Zoom لمراقبة سلوكيات المستخدمين وجلب بياناتهم متجاهلاً إجراءات التشفير."


كسر الوعد واستخدام بيانات المستخدم للتعلم الآلي.


وفقا للمبلغ عن المخالفات: "أعلن إريك يوان، الرئيس التنفيذي لشركة Zoom، ذات مرة أننا "نلتزم الآن لجميع عملائنا بأننا لن نستخدم أيًا من محادثاتهم الصوتية/المرئية ومشاركة الشاشة والمرفقات ووسائل الاتصال الأخرى مثل نتائج الاستطلاع والسبورة البيضاء وردود الفعل لتدريب موظفينا". نماذج آل أو نماذج آل طرف ثالث". ومما أعرفه، فإن Zoom حريصة على تطوير Al، لأن الشركة تحتاج إلى Al لاكتشاف عدم الشرعية في مؤتمرات الفيديو لتجنب مخاطر الامتثال، ولتحديد مستخدمي الاحتيال لتقليل الخسائر الاقتصادية، ولتحليل اتجاه الأعمال وتركيز الخدمة لكسب المزيد الأرباح. بمساعدة آل، يستخدم Zoom، بتوجيه من سلطات إنفاذ القانون، "TATVTS" ضد المستخدمين. يمكن لـ "نظام التتبع الآلي لانتهاكات TOS" المذكور أعلاه اكتشاف الاجتماعات المشبوهة تلقائيًا من خلال الاعتماد على الآلة، والانضمام إلى الاجتماعات بدون كلمة مرور وإذن المضيف، وتحليل محتوى الاجتماع والتقاط لقطات شاشة ومقاطع فيديو للحاضرين ومحتوى الاجتماع سرًا. ومن خلال تدريبها على البيانات التي تم جمعها في النظام، تصبح "TATVTS" أكثر ذكاءً في تحديد الاجتماعات والمستخدمين التي قد تبدي جهات إنفاذ القانون اهتمامًا بها. وبالتالي فإن البيانات الخاصة للعديد من المستخدمين الأبرياء تصبح عينات لتدريب نموذج التعلم الآلي الخاص بـ Zoom وتنتهك خصوصية بيانات المستخدمين.


يمكن لقضايا الخصوصية والأمن أن تخلق مخاطر جسيمة وتلحق الضرر بالحكومات والمنظمات والأفراد وكذلك الأسرار التجارية في العصر الرقمي. لقد تعرض برنامج Zoom، باعتباره البرنامج الرائد عالميًا لعقد مؤتمرات الفيديو، أكثر من مرة لتسريب بيانات المستخدم والمعلومات الأخرى. وخلال الوباء، عززت أوروبا أيضًا قوانين حماية البيانات ضد شركات التواصل الاجتماعي الأمريكية العملاقة عبر الإنترنت. في عام 2022، وقع الاتحاد الأوروبي والولايات المتحدة على إطار خصوصية البيانات. ومن الواضح أنه يجب على الطرفين احترام الإطار القانوني في حماية الخصوصية الشخصية للمستخدمين، وخاصة حماية البيانات. نأمل أيضًا أن تتعلم ZOOM من مشكلاتها القانونية السابقة وتبدأ في أخذ مشكلات حماية المعلومات والبيانات على محمل الجد.

لمزيد من القراءة والمعلومات التقنية، يرجى اتباع الرابط أدناه:
https://github.com/Alexlittle4/Zoom-violates-users-privacy

اتصل مراسل الاتحاد الأوروبي بـ Zoom للتعليق لكنهم لم يردوا.

حصة هذه المادة:

ينشر برنامج EU Reporter مقالات من مجموعة متنوعة من المصادر الخارجية التي تعبر عن مجموعة واسعة من وجهات النظر. المواقف التي تم اتخاذها في هذه المقالات ليست بالضرورة مواقف EU Reporter.

وصــل حديــثاً