Amerikaanse autoriteiten nemen privacy- en veiligheidsbeleid Zoom onder de loep

De attorney general van de staat New York heeft een brief naar de makers van videobelapp Zoom gestuurd met vragen over de veiligheid van de app en de privacy van zijn gebruikers. Zoom is op die gebieden in het verleden negatief in het nieuws geweest.

Sinds de uitbraak van de coronacrisis en het al dan niet verplichte thuisblijven dat wereldwijd aan de orde is, zijn applicaties als cloud meetings-app Zoom enorm populair geworden. In de Nederlandse Play Store is Zoom op het moment van schrijven bijvoorbeeld de op een na populairste app.

De procureur-generaal van New York vraagt volgens The New York Times naar de aanwezigheid en de soort beveiligingsmaatregelen bij Zoom en welke algemene audits en capaciteitsupgrades plaatsgevonden hebben sinds de sterke toename in populariteit. Voorbeelden worden aangehaald van keren dat de ontwikkelaar er lang over deed om bekende veiligheidslekken te dichten. Ook wil de procureur-generaal weten wat voor data verzameld wordt en met welke reden.

Zoom heeft tegenover NYT gereageerd op de kwestie. Het waardeert de zorgen van de procureur-generaal en verzekert de krant dat het de privacy, veiligheid en het vertrouwen van gebruikers 'extreem serieus neemt'. Het bedrijf achter Zoom zegt ook toe de informatie te leveren die de procureur-generaal wil. Op 29 maart publiceerde Zoom een aangevuld en verduidelijkt privacybeleid. Daarin benadrukt het dat het gebruikersgegevens niet verkoopt.

Reacties (66)

Lau1406 31 maart 2020 16:18

Wie nog een leuk open source Zoom alternatief zoekt waar je ook je eigen server van kan hosten: Jitsi

Adr01 @Lau1406 • 31 maart 2020 20:02

Toevallig van het weekend opgezet op mijn server, zo simpel als docker-compose up. Werkt best goed en stabiel. Ook zijn er veel features naast voice, cam en text chat. Er is ook een browser tab, app window en desktop screen share mogelijkheid.

De app van Jitsi is ook top.

Het enige dat mij nog niet is gelukt is om dat Etherpad aan de praat te krijgen binnen Jitsi.

S-1-5-7 @Lau1406 • 31 maart 2020 16:31

Binnenkort maar even uitproberen thuis. Mag dit zakelijk ook gratis worden gebruikt, of zijn er dan wel kosten?

biteMark @S-1-5-7 • 31 maart 2020 17:42

Als je met een wat grotere groep gebruikers (ik zou zeggen >5) wil moeten dan heb je wel een vrij sterke server nodig

bij ons maken we nu net weer de stap terug naar commerciële diensten omdat de boel om de zoveel seconden eventjes blijft hangen

S-1-5-7 @biteMark • 31 maart 2020 18:32

Hmm dat zou jammer zijn. En wat vraagt hem vooral veel? CPU of heb je ook een server nodig met een sterke videokaart?

Ik gebruik nu al Teams, maar ik vind het jammer dat er maar maximaal 4 personen tegelijk in beeld kunnen zijn en oudere systemen hebben het soms toch zwaar als ze het moeten draaien

Superstoned @S-1-5-7 • 1 april 2020 08:26

kijk ook naar andere alternatieven als roiot, matrix, nextcloud en rocket.chat het is echt niet nodig om al je data aan een Amerikaans bedrijf te overhandigen!

OruBLMsFrl @S-1-5-7 • 1 april 2020 00:30

Teams developers bij Microsoft zijn net daar overigens nu specifiek wel echt werk van aan het maken, dat je iedereen tegelijk kan zien straks als je dat wilt:
https://microsoftteams.us...l-people-in-video-meeting

OptimalApex @OruBLMsFrl • 1 april 2020 00:54

Het duurde meer dan 3,5 jaar en een wereldwijde crisis, maar we hebben ze zover dat ze er nu haast achter gaan zetten

StefSybo @S-1-5-7 • 31 maart 2020 22:20

Volgens de documentatie heeft de server alleen veel bandbreedte nodig. Omdat die zelf geen videostreams samenvoegt, maakt de CPU e.d. dus niet zo veel uit. Dat samenvoegen gebeurt op de clients. Ik vraag me dan ook af of het stotteren dat @biteMark ziet wel server-side veroorzaakt wordt.

biteMark @StefSybo • 1 april 2020 11:20

Ja volgens onze logs is het vooral CPU waar het probleem zit; bandbreedte is geen issue. Het gaat pas mis bij grotere groepen dus de aanname is nu toch dat het iets te maken heeft met video transcoding maar misschien moet het nog even wat beter worden onderzocht zodra daar meer tijd voor vrij is.

S-1-5-7 @biteMark • 1 april 2020 21:29

Ik heb zojuist een oude server voorzien van ESXI, hier een Ubuntu VM aangemaakt en daarop Jitsi geïnstalleerd met behulp van de Jitsi meet quick install guide. Ging er gemakkelijk! Ook direct een Let's Encrypt certificaat. Wel nog even wat config bestanden aanpassen, anders kan iedereen die de server kan bereiken meetings starten.

Ik heb een test call gestart met 3 verbindingen en de CPU schommelde tussen de 6 en 9% op een Xeon X3430, dus dat valt nog wel mee denk ik?
Van de week nog maar even testen met nog meer verbindingen.

wankel @S-1-5-7 • 31 maart 2020 16:38

Jitsi is open source en gebaseerd op open standaarden. Het is gratis te gebruiken, te installeren en aan te passen aan je eigen wensen. Het integreert in Matrix en andere platforms.

Je kan het meteen uitproberen op Jitsy Meet

Lau1406 @S-1-5-7 • 31 maart 2020 16:39

Daar lijkt het wel op. Van hun FAQ:

Is Jitsi free?

Yes. Jitsi is 100% open source and freely available to use and develop with. We also host and run meet.jit.si as a free service.

En de code heeft een Apache 2.0 licence

synoniem @Lau1406 • 31 maart 2020 17:02

Klopt installeren op je eigen server ondervangt het probleem dat Jitsi ook heeft namelijk dat om de streams aan elkaar te knopen ze op de server zelf niet ge-encrypt (kunnen) zijn.

Ik heb het overigens als container geïnstalleerd en start regelmatig een nieuwe container op zodat ik ook niet onnodige logbestanden heb.

svsoke @Lau1406 • 1 april 2020 10:11

We (een groep IT leveranciers, waarvan ik er voor 1 werk) hebben een soort collectief platform gestart, inderdaad gehost op jisti

aequitas

31 maart 2020 16:46

Het jammere is dat Zoom op dit moment een van de weinige conference tools is die in de meeste situaties "gewoon werkt". (of iig dat dit de perceptie is bij gros van de mensen en ook mijn ervaring).

"Vertrouwen komt te voet en gaat te paard." en dit geldt dubbel zo hard voor conference tools. Er hoeft maar een iemand de tool niet geïnstalleerd te krijgen of problemen te hebben met zijn audio en je hele meeting ligt stil en iedereen is meteen afgeleid. De meeste tools werken wel lekker maar dan alleen tot een bepaalde hoeveelheid mensen, of je het een account van Google of MS nodig. Voor Zoom heb je alleen een link nodig en klaar, iedereen kan joinen. Een alternatief voor Zoom moet net zo makkelijk zijn in gebruik (voor niet technische mensen voornamelijk) en ook nog eens zonder problemen.

Over de jaren heen heb ik meer switches van conference tools meegemaakt dan Javascript frameworks. Elke keer was er een nieuwe "de oplossing", die ons ook weer in de steek liet.

Laatst heb ik nog Jitsi geprobeerd (want open-source) voor een een-op-een sessie met screen sharing, alleen krijg mijn gesprekspartner de screensharing niet aan de praat, dus die is nu ook alweer van de shortlist helaas (maar nog niet opgegeven).

pianoman @aequitas • 31 maart 2020 17:59

Er zijn genoeg alternatieven. Lifesize, Starleaf, Webex bieden van alles aan op dat vlak. (virtuele meeting rooms, opnemen, streamen, externe partijen uitnodigen)
en op het gebied van gebruiksvriendelijkheid click to call, bellen via een geïnstalleerde applicatie, bellen uit de browser, op smartphone of tablet, of inbellen via lokaal telefoonnummer. Elk met hun eigen voor- en nadelen. Voordelen van Lifesize en Starleaf vind ik het feit dat het standards-based is, dus praktisch alle bestaande systemen van Polycom, Cisco, noem maar op, kunnen ook inbellen op de meeting.

keverjeroen @aequitas • 31 maart 2020 18:59

Wat is er mis met de good old Skype die business?

Waah @keverjeroen • 31 maart 2020 20:18

Die wordt straks afgeserveert in favor of Microsoft Teams. Geen lang leven meer dus.

keverjeroen @Waah • 31 maart 2020 22:12

Klopt, maar voor nu is het nog steeds een goed alternatief voor Zoom.

telenut @keverjeroen • 1 april 2020 08:51

niet mee eens... de meeste gebruikers raken totaal niet uit aan de instellingen. Logisch ook, die zitten gewoon op 3 verschillende plaatsen. Je hebt ook een client nodig. Het werkt niet op chromebook. Of ze installeren de verkeerde skype enz...

tweaker2010 31 maart 2020 16:36

"We do not sell your personal data. Whether you are a business or a school or an individual user, we do not sell your data. "

Dat ze het nu niet verkopen wil niet zeggen dat ze dat in de toekomst wel doen als ze groot geworden zijn en men niet meer om de software heen kan (zie FB en Whatsapp etc)

"Your meetings are yours. We do not monitor them or even store them after your meeting is done unless we are requested to record and store them by the meeting host. ".

Of dat we worden gevraagd door de overheid en/of spionage diensten. De meeting host heeft dus blijkbaar wel de zeggenschap over de opnames van andere deelnemers en deze data bevindt zich ergens op een server in de cloud... hmmm.

"Zoom collects only the user data that is required to provide you Zoom services. This includes technical and operational support and service improvement. For example, we collect information such as a user’s IP address and OS and device details to deliver the best possible Zoom experience to you regardless of how and from where you join. "

Mooie marketing teksten gebruiken om de opslag van IP adressen en apparaat informatie goed te praten. Oh ja, deze kunnen wellicht ook worden ingezien door derden.

En zo kan ik nog wel even doorgaan. Compleet wassen neus dit statement.

[Reactie gewijzigd door tweaker2010 op 22 juli 2024 18:29]

Swerfer @tweaker2010 • 31 maart 2020 17:08

Defensie heeft sinds gisteren Microsoft Teams voor zo'n 60.000 medewerkers beschikbaar gesteld met daarbij een uitleg waarom niet voor een andere service dan Teams is gekozen. Had puur met veiligheid te maken wat alleen Teams kon garanderen. Ondanks dat mogen defensiemedewerkers Teams alleen gebruiken voor ongerubriceerde inhoud, omdat het over gewoon internet gaat en (nog) niet binnen het defensie intranet.

Superstoned @Swerfer • 1 april 2020 08:23

Zucht, defensie??? En er zijn zoveel veiligere, onpremises open alternatieven die dit beter kunnen... zonder metadata te lekken... jitsi, matrix, riot, Nextcloud Talk...

blinchik @Swerfer • 1 april 2020 16:23

Welke defensie ? Als het de Amerikaanse defensie is, dan lijkt het me logisch dat ze voor een amerikaans bedrijf kiezen (zoals wij eigenlijk voor iets europees zouden moeten kiezen, en niet voor iets amerikaans).
Als het toch bv Nederlandse defensie is, lijkt het me gigantisch dom om voor Teams te kiezen (geen end to end encryptie, alles wordt netjes in de amerikaanse cloud opgeslagen). En dat is nu net niet te vertrouwen, zelfs voor offline dingen is het tegenwoordig onbetrouwbaar: https://www.nrc.nl/nieuws/2020/03/23/philips-vreest-amerikaanse-vordering-beademingsapparatuur-a3994610

Hopelijk leidt de Corona crisis er voor dat op termijn alles wat meer Europees wordt, alhoewel ik er schrik voor heb en over twijfel, als je ziet hoe Teams nu voeten aan de aarde krijgt ....

Hann1BaL @tweaker2010 • 31 maart 2020 17:38

Hoewel ik best deel in de zorgen wil ik wel wat tegenover stellen.
Wij gebruiken Zoom in het bedrijf met zowel conference rooms als de individuen in het bedrijf. Bij slechte ervaringen in meetings is de volgende informatie echt handig en echt niet alleen maar een wassen neus:

1. IP
2. Device
3 Audio devices (oh je gebruikt je onboard en niet je fancy headset mic.)
4 webcam (je moet wisselen van je onboard naar die op je monitor als je laptop gedockt en dicht is)
5 netwerkkwaliteit (misschien moet je de andere mensen thuis vragen om het netwerk minder te belasten, want de problemen lagen bij jouw verbinding.)

Dus nee, het is wel degelijk nuttig om die informatie te verzamelen om het te kunnen ondersteunen en mensen te helpen met het verbeteren van de ervaring. Hoewel dat vrij weinig nodig is, want het werkt gewoon wel als de brandweer en is een stuk beter dan Teams, dat we ook hebben.

pianoman @tweaker2010 • 31 maart 2020 17:54

Teams werkt niet on premise, en de algmene opinie is dat het ook nooit zal gebeuren. Microsoft wil juist alles naar de cloud verhuizen.

Ook op de roadmap is in ieder geval nog niks te vinden over on premise plannen.

oef! @tweaker2010 • 1 april 2020 00:28

Dat ze het nu niet verkopen wil niet zeggen dat ze dat in de toekomst wel doen als ze groot geworden zijn en men niet meer om de software heen kan (zie FB en Whatsapp etc)

Kan je van ieder bedrijf zeggen.

Of dat we worden gevraagd door de overheid en/of spionage diensten. De meeting host heeft dus blijkbaar wel de zeggenschap over de opnames van andere deelnemers en deze data bevindt zich ergens op een server in de cloud... hmmm.

Opslag in de cloud is optioneel en alle grote techbedrijven werken samen met justitie indien gevraagd.

Mooie marketing teksten gebruiken om de opslag van IP adressen en apparaat informatie goed te praten. Oh ja, deze kunnen wellicht ook worden ingezien door derden.

Heb je überhaupt wel eens een gebruikersovereenkomst gezien? Dit staat er altijd in.

Ik heb niks met Zoom maar je punten raken kant noch wal.

[Reactie gewijzigd door oef! op 22 juli 2024 18:29]

ridmaur

31 maart 2020 16:13

https://daringfireball.net/2020/03/regarding_zoom
Sums it up....

Keypunchie @ridmaur • 31 maart 2020 16:53

Ik herinnerde me Zoom ook inderdaad van het installeren van backdoors op je computer. De webvariant wil ik nog net wel gebruiken, maar no way dat ik een native client installeer.

Kalief @Keypunchie • 31 maart 2020 21:07

Oh kijk, ik wist helemaal niet dat er een browservariant bestond. Niet zo gek als alleen Chrome geluid toestaat.

https://support.zoom.us/h...214629443-Zoom-Web-Client

Maar het host spelen om anderen te inviten vereist een extra add-on?
https://support.zoom.us/hc/en-us/articles/201363273

ArawnofAnnwn @ridmaur • 31 maart 2020 16:54

Een zeer goede samenvatting van de maker van de Markdown markup taal.

R4gnax

Networking en security

@ridmaur • 31 maart 2020 17:47

Yes. "Zoom’s institutionally cavalier attitude to privacy" is echt een hele mooie verwoording.

Wij hebben het bedrijfsmatig last-minute gebruikt toen MS Teams het af liet weten. Toen al voor gewaarschuwd dat die toko niet helemaal netjes was, maar daar werd alleen maar lacherig over gedaan.

Kun je doen, natuurlijk - maar als je dit soort signalen niet serieus neemt, dan het je het ook eigenlijk over jezelf als bedrijf afgeroepen als er vervolgens een informatie-lek van gevoelige bedrijfsgegevens boven komt.

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:29]

NumesSanguis 31 maart 2020 16:18

ProtonMail heeft ook een blogpost geschreven over de privacy issues met zoom:
https://protonmail.com/blog/zoom-privacy-issues/

kodak

Networking en security
Zoom

31 maart 2020 16:51

Vanuit Harvard was er ook een goede uitleg hoe je de privacy voorwaarden van Zoom kan lezen:
https://blogs.harvard.edu/doc/2020/03/27/zoom/

Dat was de situatie tot 29 maart. En zoals in andere reacties is te lezen waren er meer personen met zorgen. Plotseling lijken de voorwaarden op 29 maart aangepast. Ze lijken een stuk duidelijker te zijn en vooral te willen zeggen dat ze geen persoonsgegevens verkopen. Maar ze gebruiken voor calls wel nog steeds Google analytics en laten de mogelijkheid open om gegevens door te spelen naar andere organiaties. Ze lijken vooral extreem serieus om zo min mogelijk toe te geven wat ze wel met de gegevens doen en er tot voor kort mee deden.

[Reactie gewijzigd door kodak op 22 juli 2024 18:29]

Tobias4096 31 maart 2020 16:06

En dan te bedenken dat ik Zoom nu regelmatig gebruik door de coronamaatregelen.

Sand0rf @Tobias4096 • 31 maart 2020 16:13

Het kan ook juist komen door Corona. Doordat er nu explosief meer mensen gebruik maken van Zoom zijn ze eerder geneigd dat systeem te bekijken.

dcm360

@Sand0rf • 31 maart 2020 16:18

Daar lijkt het wel op, de stroom aan niet bepaald positief nieuws over Zoom lijkt maar niet op te houden. Vanochtend kwam ik ook al tegen dat de 'end-to-end-encryption' waarmee Zoom adverteerde een wat rare definitie van end-to-end heeft: 1 van de 2 'ends' is namelijk hun service, en niet een andere gespreksdeelnemer. bron

Sqrtroot @dcm360 • 31 maart 2020 16:30

Niet dat hun claim geldig is, ze gebruiken zeker geen end to end encryptie als het tot de server encrypted is. Helaas is het ontwerpen van goede end to end encryptie voor groepsgesprekken (berichten, of video) niet gemakkelijk. Zie bijvoorbeeld https://blog.trailofbits....ter-encrypted-group-chat/. Nogmaals dit neemt niet weg dat ze beter hadden kunnen communiceren hierover.

klaasmf 31 maart 2020 16:17

Relay server, alle calls opslaan, speech to text over alle files heen en je hebt zo alles geïndexeerd.

Ik heb geen idee hoe Zoom als bedrijf precies in elkaar zit, begrijp dat er een deel van het development in China gedaan word?

Zoom kan echt alles van je bedrijf te weten komen. Maar goed het is ook zo: Als dit ook maar een keer naar buitenkomt of de verdenking alleen al te groot word kun je snel de deuren sluiten. Dit geld natuurljk voor alle bedrijven die deze dienst aanbieden.

R4gnax

Networking en security

@klaasmf • 31 maart 2020 17:39

Zoom kan echt alles van je bedrijf te weten komen.

Niet alleen van je bedrijf.
Zo kon je laatst in een willekeurige TV reportage inzake Corona, mooi zien dat bijv. de Brazilliaanse regering ook Zoom gebruikt voor grote politieke vergaderingen tussen de centrale overheid en de gouverneurs.

[Reactie gewijzigd door R4gnax op 22 juli 2024 18:29]

lepel 31 maart 2020 16:36

Ben ik blij met onze oplossing bij OnsPlatform.tv, peer-to-peer, end-to-end encryptie, en de rest van de applicatie gewoon in Nederland gehost dus niks naar het buitenland.

Je ziet ook dat veel scholen en zorginstellingen Zoom gebruiken, vreemd dat in zulke kwetsbare sectoren zomaar zonder goede check Amerikaanse applicaties mogen worden gebruikt, zeker nu met de AVG.

[Reactie gewijzigd door lepel op 22 juli 2024 18:29]

Luuk2015 31 maart 2020 16:37

Wij gebruiken sinds kort op werk af en toe Zoom, echter zat ik ook te kijken naar Microsoft Teams.
Is Microsoft Teams beter qua privacy dan Zoom? Hebben jullie hier ervaring mee?

Anoniem: 511810 @Luuk2015 • 31 maart 2020 17:17

Teams werkt bij ons als een speer. Veel beter als Skype. Diensten als Zoom e.d. gebruiken we zakelijk niet, want we (ons bedrijf) wil graag zoveel mogelijk in-house servicen. Dat kan met Outlook, onedrive/sharepoint en naar ik aanneem (maar niet zeker weet) wordt dat ook met Teams gedaan.
In ieder geval hebben we presentaties met 10 tallen mensen online, met audio (en soms ook video) sharen van 4K content gedaan zonder noemenswaardige problemen middels Teams.

*EDIT*
Oh, je vroeg qua privacy, sorry.
Teams heeft encryptie, werkt perfect over VPN's, en zoals ik aangaf ga ik ervan uit dat het net als de andere MS diensten indien gewenst on-site gehost kan worden. Dan zijn de meeste privacy dingetjes wel beklonken.
Heb je echt issues met privacy en wil je een ptp verbinding, tik dan ergens wat oude conferencing hardware op de kop (bijv. tandberg, nu sisco) die kun je encrypten en via een vpn laten 'inbellen' naar elkaar.

[Reactie gewijzigd door Anoniem: 511810 op 22 juli 2024 18:29]

Skalders @Anoniem: 511810 • 31 maart 2020 17:39

Kan je met Teams ook videogesprekken hebben met externe partijen bv. klanten die geen teams abo hebben?

Hann1BaL @Skalders • 31 maart 2020 17:53

Met ongeveer alle standaard Video Conference platformen en apps kun je joinen zonder dat je zelf een account hebt.

Voor Zoom, Teams en andere apps kun je direct met je browser joinen in de webapp of de app downloaden en installeren en gebruiken zonder account.

Zolang je maar een uitnodiging voor een meeting hebt van de host.

Kalief @Anoniem: 511810 • 31 maart 2020 21:13

want we (ons bedrijf) wil graag zoveel mogelijk in-house servicen. Dat kan met Outlook, onedrive/sharepoint en naar ik aanneem (maar niet zeker weet) wordt dat ook met Teams gedaan.

Pianoman zegt hierboven het tegenovergestelde:

Teams werkt niet on premise, en de algmene opinie is dat het ook nooit zal gebeuren. Microsoft wil juist alles naar de cloud verhuizen.
Ook op de roadmap is in ieder geval nog niks te vinden over on premise plannen.

Anoniem: 511810 @Kalief • 1 april 2020 20:44

Was ook maar een aanname.
Het zou me overigens wel verbazen als MS niet alleen alles naar de cloud wil, maar ook zal gaan verplaatsen.'Voor enkele organisaties is het essentieel om de veiligheid van data in eigen hand te (kunnen) houden. Ik zie ook niet in waarom MS hier niet in mee zou moeten willen gaan, het legt het risico daar neer waar het hun geen pijn kan doen.

sebati @Anoniem: 511810 • 1 april 2020 08:55

"naar ik aanneem (maar niet zeker weet) wordt dat ook met Teams gedaan."

Teams is enkel in de cloud, niet on-prem.

Op dit item kan niet meer gereageerd worden.

Amerikaanse autoriteiten nemen privacy- en veiligheidsbeleid Zoom onder de loep

Lees meer

Reacties (66)

Sorteer op:

Weergave: