NEWS

 

Zoom accetta password di un solo carattere, meglio per una videochat tra amici che per riunioni di lavoro

Mentre in tempi di isolamento sociale da Covid-19 la piattaforma Zoom è diventata velocemente una delle app di videoconferenze più popolari al mondo, Elon Musk ha deciso invece di vietarne l'uso ai suoi dipendenti, e non solo per potenziali carenze riguardanti il rispetto delle leggi sulla privacy.

Non si può infatti negare che ad un primo impatto la Zoom Video Communications Inc. sembri presentare un generale quadro di formale adeguatezza alla normativa sulla protezione dei dati personali e anche al Gdpr, aderendo ad esempio al meccanismo del Privacy Shield, che permette alle società stabilite negli Stati Uniti di ricevere lecitamente i dati personali degli utenti europei, prevedendo nei propri termini d'utilizzo specifiche clausole di compliance in materia, mettendo a disposizione un "white paper" che descrive meticolosamente tutte le misure di sicurezza adottate, e avendo anche nominato un data protection officer come persona responsabile di assicurare il rispetto dei diritti degli interessati.

Quando però i top manager devono tenere riunioni in cui si scambiano informazioni che richiedono di essere custodite gelosamente come quelle riguardanti le strategie commerciali, i segreti industriali, la proprietà intellettuale, e le relazioni annuali, la primaria necessità non è tanto quella di disporre di uno strumento di comunicazione formalmente "conforme alle leggi sulla privacy", piuttosto quella di guardarsi in faccia avendo la certezza di poter mantenere una sostanziale ed assoluta riservatezza su tutti quei delicati argomenti che vengono trattati durante l'incontro a distanza.

E se è stato lo stesso Eric Yuan, fondatore e Ceo di Zoom, a fare sul suo blog personale un accorato mea culpa, ammettendo di essere venuto meno alle aspettative che la propria comunità di utenti aveva sulla privacy e sulla sicurezza dei dati, si comprende che il tasto dolente della nota piattaforma di videochat è proprio la scarsa affidabilità sulla tutela della riservatezza.

Anche se le lacune sulla privacy non hanno ultimamente impedito a Zoom di volare a Wall Street, che da inizio anno ha registrato una performance superiore al 30% arrivando a valere oltre 30 miliardi di dollari e contando adesso più di 200 milioni di utenti attivi ogni giorno a livello planetario, d'altra parte grandi aziende come l'aerospaziale SpaceX fondata da Elon Musk  (e anche la Nasa) sbattono la porta in faccia alla popolare app di videoconferenze, e con motivazioni inderogabili.

A prescindere dal formale espletamento dei vari adempimenti normativi e di tutti bollini di cui possa fregiarsi un rinomato software, una grande organizzazione non può infatti permettersi di sceglierne uno per tenere le proprie riunioni di lavoro che metta a repentaglio informazioni che sono tassativamente top secret.

Anche se non sono stati esplicitamente elencati i motivi per cui Elon Musk ha deciso di vietare l'uso di Zoom ai suoi dipendenti, è quindi chiaro che la SpaceX, come del resto tutte le grandi aziende, non possono minimamente esporsi al rischio che i contenuti delle proprie riunioni possano finire di pubblico dominio nel web. E questo è stato proprio quello che ha riferito il Washington Post a proposito di migliaia di registrazioni di videoconferenze effettuate dal servizio di Zoom che ad insaputa degli utenti sono state pubblicate su piattaforme di video sharing accessibili a chiunque come Youtube e Vimeo.

 (Nella foto: Nicola Bernardi, presidente di Federprivacy)

Peggio ancora, nel caso in cui tali registrazioni dovessero transitare per data center ubicati in Cina, dove qualsiasi cosa che viene pubblicata su internet e social network finisce sotto la lente della censura. E quando questo problema di non poco conto è emerso, Zoom si è giustificata spiegando di aver "erroneamente" consentito tale deviazione attraverso i suoi due data center cinesi per far fronte alla temporanea necessità di gestire l'enorme aumento del traffico dovuto all'emergenza del Coronavirus. Anche se successivamente la criticità sarebbe stata risolta, permangono comunque i dubbi su come effettivamente vengano trattati i dati personali degli utenti della piattaforma, soprattutto quelli di coloro che se ne avvalgono per scopi aziendali.

Allo stesso modo, se le conversazioni di lavoro potessero essere in qualche modo ascoltate da orecchi indiscreti, o persone non autorizzate avessero accesso alla stanza della riunione per distogliere i dirigenti d'azienda da importanti decisioni che richiedono la massima concentrazione, risulterebbe vano ogni sforzo fatto per svolgere il meeting a porte chiuse e bonificare l'ambiente da cimici spia. E a top manager come Mister Tesla non può essere passata inosservata la repentina diffusione dello “Zoom-bombing”, un fenomeno che ha suscitato pure la preoccupazione dell'FBI, il quale consiste nella pratica di certi individui di accedere alle chat room per sbirciare ciò che viene detto, o addirittura compiendo irruzioni per disturbare o interrompere le videoconferenze con messaggi volgari, o anche mostrando filmati pornografici, razzisti e offensivi.

Come se tutto ciò non bastasse, la funzione su Zoom per l'inserimento della password per limitare l'accesso alla propria videochat solo alle persone autorizzate consente di impostare una password formata anche di un solo carattere. Viceversa, i più attenti alla sicurezza delle loro conversazioni non possono invece inserire una password più lunga di otto caratteri. Anche questa limitazione della piattaforma rende più facile per curiosi e malintenzionati intrufolarsi nelle conferenze altrui, e non costituisce certo un buon esempio del rispetto dei princìpi di privacy by design e privacy by default previsti dal Gdpr.

Se inizialmente a preoccupare gli utenti di Zoom era stata la condivisione dei loro dati personali con Facebook, ed anche la scoperta che la piattaforma non adottava come promesso gli standard di crittografia "end-to-end" che rendono più sicure le conversazioni bensì una più semplice crittografia TLS, attraverso la quale gli stessi gestori della piattaforma possono potenzialmente vedere e sentire tutto quello che avviene nelle conversazioni, le ulteriori lacune che sono venute successivamente alla luce lasciano esterrefatti.

E' vero che Zoom è una utile e simpatica app per amici e persone che vogliono socializzare tra di loro nel tempo libero, ma è assolutamente inadatta per usi professionali che richiedono riservatezza e tutela della privacy.

E per manager che amministrano società con fatturati da milioni di euro, le quali si devono quotidianamente confrontare con competitor di mercato agguerriti e difendersi dallo spionaggio industriale, paradossalmente le eventuali non conformità al Gdpr e alle leggi sulla privacy sono pure il male minore rispetto alle voragini sulla riservatezza delle informazioni che riguardano Zoom.

Nicola Bernardi, Presidente di Federprivacy - Affaritaliani.it

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Articoli correlati

Prev Emergenza Coronavirus, un gruppo di lavoro di 74 esperti per decidere la sorte dei nostri dati?
Next Lotta al virus, non alla privacy

Galleria Video

Cyber e Privacy Forum 2023, il trailer dell'evento

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su Linkedin

Argomenti in evidenza