Comissão reuniu na reclamação todas as declarações da empresa, como guias de conformidade, relatórios, postagens e mesmo respostas a consultas de clientes
O ditado “O tempo e a adversidade são poderosos destruidores” parece se aplicar ao Zoom, empresa do aplicativo de videochamadas que bombou durante a pandemia da covid-19. Se o novo coronavírus é a proverbial adversidade, o tempo tem mostrado que o Zoom é uma coleção de falhas de segurança, e uma delas (a falta de criptografia ponta a ponta) motivou sua condenação pela Federal Trade Commission (Comissão Federal de Comércio, ou FTC) dos EUA.
“Desde pelo menos 2016 a Zoom enganou os usuários ao anunciar que oferecia ‘criptografia ponta a ponta de 256 bits’ para proteger as comunicações dos usuários, quando, na verdade, fornecia um nível de segurança muito inferior. Os servidores do Zoom (incluindo alguns localizados na China) mantêm as chaves criptográficas que permitiriam à empresa acessar o conteúdo das reuniões de seus clientes”, diz o relatório conclusivo da comissão.
Em essência, essa prática acaba com todo o propósito do termo “ponta a ponta”, que implica em uma criptografia que não pode ser quebrada nem mesmo pela empresa que gere o sistema.
Segundo a FTC, “a empresa não forneceu criptografia ponta a ponta para qualquer videoconferência via seu aplicativo fora do seu produto ‘Connecter’ (com hospedagem nos próprios servidores do cliente)”.
Sem indenizações
A reclamação da FTC reuniu todas as declarações da empresa (como guias de conformida, relatórios, postagens no blog da empresa e mesmo respostas a consultas de clientes) em que a Zoom mentiu sobre a criptografia de suas operações.
A empresa ainda “enganou usuários que queriam armazenar reuniões gravadas em nuvem da empresa, alegando falsamente que elas seriam criptografadas imediatamente após seu término. Em vez disso, elas foram armazenadas sem criptografia por até 60 dias.”
A Zoom concordou em implementar um programa de segurança abrangente (a criptografia ponta a ponta não foi incluída no acordo, mas a empresa já anunciou que vai fazer isso). Não haverá compensação monetária para os usuários enganados.
Anvisa proíbe uso interno do app Zoom por problemas de segurança
A Agência Nacional de Vigilância Sanitária (Anvisa), um dos órgãos públicos na linha de frente do combate à pandemia do novo coronavírus (covid-19), proibiu o uso da ferramenta de videoconferência Zoom nos computadores da agência. De acordo com o órgão, falhas de segurança foram identificadas no aplicativo.
Zoom é uma plataforma que vem ganhando popularidade desde o início da pandemia com seu serviço de videoconferência. Ele funciona gratuitamente por um período limitado e sem prazo para quem assina um pacote. A Agência Brasil publicou reportagem onde mostra aplicativos que podem ser utilizados como alternativas.
A área de tecnologia da informação da Anvisa teria tomado contato com análises de especialistas em segurança cibernética em fóruns internacionais nas quais foram apontadas falhas graves de segurança no recurso Zoom meeting.
Essas vulnerabilidades podem ser exploradas por invasores, que conseguiriam acessar a câmera e o microfone de usuários, bem como os conteúdos das reuniões realizadas por meio deste recurso.
O próprio diretor executivo da empresa responsável pela ferramenta, Eric Yuan, reconheceu as falhas, informando que a equipe está buscando adotar medidas para qualificar a estrutura de segurança do programa.
Yuan declarou que a companhia não conseguiu assegurar mecanismos adequados diante do aumento exponencial da base de usuários. Entre dezembro e abril, o número de pessoas utilizando o recurso saiu de 10 milhões para 200 milhões.
“Nós admitimos que frustramos as expectativas de privacidade nossa e da comunidade. Por isso, peço desculpas e divido que estamos fazendo algo a respeito”, escreveu no blog da empresa em 1º de abril.
Entre essas falhas estava o fato de que a empresa repassava dados dos seus usuários ao Facebook, mesmo quando estes não possuíam uma conta na rede social.
Em entrevista a diversos meios de comunicação nos Estados Unidos neste final de semana, o diretor executivo voltou a afirmar que a empresa está atuando para tentar resolver os problemas.
Uma das providências mencionadas por Yuan foi a interrupção do repasse de dados ao Facebook. Outros rastreadores e ferramentas de monitoramento também foram retiradas ou pararam de coletar dados, como uma relacionada à rede social Linkedin.
A política de privacidade foi atualizada no dia 29 de março. Segundo a empresa, para deixar claro que ela não vende dados a terceiros, embora esta seja apenas uma das formas de abuso na coleta e tratamento de dados de clientes.
* Matéria alterada às 15h36 para esclarecer informação. A Anvisa proibiu o uso do aplicativo Zoom nos computadores da própria agência.
