Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Zoom zegt sorry voor beveiligingslekken en pauzeert ontwikkeling nieuwe functies

Videobelbedrijf Zoom heeft zijn excuses aangeboden voor de vele beveiligingslekken die in de software blijken te zitten. Zoom heeft de ontwikkeling van nieuwe functies gepauzeerd en besteedt de komende maanden aan het fiksen van alle lekken.

Woensdag heeft Zoom fixes beschikbaar gemaakt voor lekken die woensdag naar buiten kwamen, zegt de directeur in een blogpost. Daarbij gaat het om lekken in de Mac-app die toegang geven tot de microfoon en de camera en een fout in de manier waarop de Windows-app omgaat met links, waardoor het Windows-wachtwoord van gebruikers te achterhalen was.

De directeur biedt ook excuses aan voor de diverse lekken in de software. "We erkennen dat we niet hebben voldaan aan de verwachtingen op het gebied van privacy en beveiliging van onze gebruikers en van onszelf. Dat spijt me enorm."

Het ontwikkelen van nieuwe functies voor Zoom staat de komende negentig dagen stil om de beveiliging en privacy van de dienst te waarborgen, aldus het bedrijf. Ook komt er een beter bug bounty-programma en mogen externe onderzoekers de code van de apps onderzoeken om lekken te vinden. Daarnaast komt er een penetratietest. Met de maatregelen wil Zoom naar eigen zeggen het vertrouwen van gebruikers terugwinnen. Het gebruik van Zoom is gestegen van 10 miljoen gebruikers enkele maanden geleden naar 200 miljoen gebruikers nu.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Arnoud Wokke

Nieuwsredacteur

02-04-2020 • 11:29

103 Linkedin

Reacties (103)

Wijzig sortering
De sneue realiteit is dat software schrijven moeilijk is en veilige software extreem moeilijk.
Niemand kan vanuit het niets een serieus softwarepakket op het formaat van Zoom schrijven zonder beveiligingsproblemen. Natuurlijk is het in theorie wel mogelijk maar in praktijk kan geen enkele start-up zich dat veroorloven, al is het maar omdat je een heel team aan testers en hackers nodig hebt en een gedisciplineerde ontwikkelaars en architecten.
Van wat ik er van gezien heb is de beveiliging bij Zoom relatief goed (sleutelwoord "relatief", de lat ligt nogal laag), maar helaas is dat niet genoeg.

Als offline bedrijf kun je nog eens klein en lokaal beginnen en daar de ervaring en het kapitaal opdoen dat je nodig hebt om verder te groeien. Online wordt je direct voor de leeuwen gegooid en moet alles direct van de hoogste kwaliteit zijn. Wie voor de hoogste kwaliteit gaat is echter failliet aan de ontwikkelkosten voor er een product is om te verkopen. Je moet dus haast wel de gok nemen door je product te lanceren voordat de strenge beveiligingsnormen gehaald worden en je genoeg geld kan binnen halen om problemen op te lossen voor je door je klanten aangeklaagd wordt.

Deze excuses horen bij het ritueel. Nu Zoom is doorgebroken kunnen ze eindelijk echt gaan investeren in kwaliteit. Er zullen nog wel meer gaten gevonden worden voor het beter wordt. Ik hoop dat het ze lukt om echt 90 dagen lang aan beveiliging te werken, maar ik kan het me haast niet voorstellen. In deze periode zijn ze zo belangrijk dat iedereen contracten met ze af wil sluiten en geld als water kunnen verdienen. Vroeg of laat worden die programmeurs ingeschakeld om wat extra features te ontwikkelen die nodig zijn om de mega-orders binnen te halen.
Deze excuses horen bij het ritueel. Nu Zoom is doorgebroken kunnen ze eindelijk echt gaan investeren in kwaliteit.
Zullen we dan voor de objectiviteit ook de andere kanten van het ritueel ook benoemen?

Zoom is geen klein bedrijf met weinig middelen dat net begint. Ze bestaan al ruim 8 jaar, sinds 2011. Ze hebben meer dan 1900 medewerkers in dienst. Ze hebben een omzet van bijna 200 miljoen dollar per kwartaal en een totale waarde van een miljard dollar. Toch weet het bedrijf het te presteren om tot recent privacy voorwaarden op te stellen die veel persoonsgegevens vooral voor zoom lucratief maken, privacy voorwaarden op te stellen die niet bedoeld lijken om privacy te beschermen, gebrekkige kwaliteitscontrole op de code te hebben en nauwelijks moeite te nemen om problemen in de kwaliteit serieus te verhelpen, ze doen in hun documentatie en marketing aan beweringen over end to end encryption die volkomen onterecht blijken, En dat alles tot het groot in de media komt. Pas dan komt er verandering.
Zoom verschuilt zich daarbij ook achter een niet realistisch excuus dat ze tot voor kort gericht waren op grote bedrijven.

Het ritueel wat we hier zien is niet van het niveau een product op de markt zetten is moeilijk. Het lijkt eerder van het niveau dat een bedrijf hele andere prioriteiten heeft zoals bijvoorbeeld groei en winst, tot er massaal aandacht voor misstanden is.
"Het lijkt eerder van het niveau dat een bedrijf hele andere prioriteiten heeft zoals bijvoorbeeld groei en winst, tot er massaal aandacht voor misstanden is."

Goh, waar heb ik dat toch vaker gehoord. Waar is Dolph Lungren op z'n motorfiets als je 'm nodig hebt.
Duidelijk! Bij een dergelijk bedrijf wil ik mijn gegevens niet hebben. Maar hoe verwijder je je account?
De app verwijderen gaat snel. Op hun site volg je https://support.zoom.us/h...ete-Terminate-My-Account-
account management staat in linkse balk in je profiel.

[Reactie gewijzigd door Frits Hoff op 2 april 2020 23:18]

Alles goed en wel, maar dit gaat niet om een bugje. Facebook API calls waaien niet zomaar je sourcecode in. Die zijn er doelbewust door iemand ingezet en werkten kennelijk prima.
Dat is juist een van de weinige dingen die er wel zo in 'waait', dat komt mee met de inlog-api van FB, als je dus niet oplet, en je voegt inloggen via FB toe, dan voeg je dat toe. Je moet juist tijd en moeite stoppen in controleren wat welke api/package/plugin precies doet en of dat nodig is/klopt.
Je moet juist tijd en moeite stoppen in controleren wat welke api/package/plugin precies doet en of dat nodig is/klopt.
Ik ben geen techneut hoor, maar is de FB api zo exotisch dat dat zo moeilijk uit te vinden is? Is zoiets geen 'algemene kennis' in ontwikkelaarsland?

Buiten dat nog: is controleren wat de gebruikte api's eigenlijk doen voordat je ze gebruikt niet gewoon deel van je werk als ontwikkelaar? :)
Heb zelf ook tijdje meegewerkt aan een screensharing oplossing, en dit soort software is extreem lastig om te ontwikkelen. Het aantal variabelen is vrijwel onmogelijk om te testen: netwerk kwaliteit, verschillende OS-en en browsers (hello IE6/IE8!) die mensen gebruiken, microfoon en video issues, you name it.

Tegelijkertijd is deze markt extreem competitief. Namelijk, als jouw product even niet werkt, of vaak hickups vertonen, dan gaan mensen toch andere producten gebruiken. Zeker bedrijven, waar je gewoon wilt dat als je een belangrijke call hebt, dat het dan werkt.

En dan hebben we het nog niet eens over het installeren / gaan gebruiken van de app. Sinds het thuiswerken heb ik wel 4 verschillende oplossingen moeten gebruiken en ze falen allemaal, behalve Zoom.

Ik begrijp Zoom dan ook wel dat ze allerlij truukjes gebruiken om zoveel mogelijk frictie te verwijderen bij het setup proces, maar ook truukjes gebruiken om de app en connectie zo stabiel mogelijk te draaien.

Het is simpelweg business. Als zij het beter doen dan de concurrent, dan houden ze bestaansrecht. Dat daar privacy en veiligheid etc. bij geschonden wordt zal veel mensen een worst weten. Als ze willen bellen dan moet het gewoon werken, dat staat op 1. Klaar.

Dus ik begrijp ook dat Zoom pas bij press-exposure hier iets aan gaat doen. En ik vermoed dat ze het ook blijven doen. Simpelweg omdat je met (volgens sommige smerige) truukjes wint in deze markt.
Met deze versimpeling kan ik het deels eens zijn. Het deel dat een bedrijf zich heel veel kan veroorloven om winst te maken tot je omgeving gaat klagen. Maar niet op het punt dat die complexiteit en zorg maar dat het werkt het excuus zou zijn om bestaansrecht te hebben.

Om complexiteit van de ontwikkeling en druk van competitie het hoofd te bieden heb je geen voorwaarden nodig om persoonsgegevens van je klanten met andere bedrijven te delen zonder dat het nodig is voor je dienstverlening. Of heb je het ook niet nodig om je klant voor te houden dat er end-to-end encryptie zou zijn terwijl die er niet is. Of heb je juist goede opvang nodig als die kwaliteit door de complexiteit en het te simpel verhelpen zwaar bagger blijkt te zijn en snel te kunnen verhelpen als het zo belangrijk is dat het wel werkt. Ik kan maar een reden bedenken waarom je als bedrijf genoegen neemt met dit soort excuses en dat is al je prioriteiten niet liggen bij je bestaansrecht maar bij het zo snel mogelijk zo veel mogelijk winst maken zolang het kan. Een bedrijf dat al 8 jaar bestaat en per kwartaal honderden miljoenen omzet en 1900 medewerkers in huis heeft moet bij een goede bedrijfsvoering in staat te zijn om de privacy, beveiliging en kwaliteit veel beter te borgen dan zoom tot nu toe heeft laten zien als het ze werkelijk om bestaansrecht te doen is.
Het is/was gewoon een keuze om niet te investeren in veiligheid en ipv privacy serieus te nemen juist wat extra's te verdienen door date handel. Best logisch voor een bedrijf wat onder druk staat van aandeelhouders, daarom moet je oppassen met venture capital-gestuurde bedrijven...

En ja ik heb er ervaring mee ;-)
"Nu Zoom is doorgebroken kunnen ze eindelijk echt gaan investeren in kwaliteit. "
Want met 10 miljoen gebruikers is dat nog niet mogelijk?
Nee, niet echt. Ik denk dat miljoenen zullen moeten uitgeven om hun product fundamenteel veiliger te maken. Wat oppervlakkige bugs fixen kan uiteraard veel goedkoper, maar om structureel veilig te werken zul je door je hele organisatie heen maatregelen moeten treffen.

PS. De meeste van die 10 miljoen gebruikers betalen niet en gebruiken alleen de gratis versie.
Nou, maar voordat je die miljoenen uitgeeft moet je allang zorgen dat binnen je bedrijf een cultuur heerst van nadenken over privacy en beveiliging. Die ontbreekt overduidelijk, anders maak je niet van die ondoordachte fouten als aannemen dat iedereen met hetzelfde email-domein ook wel in hetzelfde bedrijf zal werken.
Zoom is vorig jaar de beurs op gegaan, dan ben je echt geen hobbyclub meer.
Want met 10 miljoen gebruikers is dat nog niet mogelijk?
10 miljoen betalende gebruikers?
Helemaal eens. Helaas.

Je ziet hetzelfde bij Signal. De resources om die app te ontwikkelen zijn minder dan bij bijv. Facebook en dat merk je. Eerlijk is eerlijk, Whatsapp is een stabielere app. Daar komt bij dat bij commerciële bedrijven de beveiliging/privacy een afweging is, bij open source projecten vaak een niet-onderhandelbaar principe. Dat maakt de software ontwikkelen complexer. Dat zie je bij de Github-issues bij Signal: veel feature requests blijven liggen (of worden afgewezen) omdat het niet kan vanwege de beveiliging.
maar bij Signal ging het met de veiligheid *wel* goed.
Helaas gaan partijen als zoom vooral in de buidel tasten als het om marketing en gimicks gaat, ipv om security, en zijn de meeste gebruikers niet in staat de veiligheid op waarde te schatten, waardoor partijen als zoom dus snel vooruit kunnen qua gebruikrsaantallen.
Als je ziet dat ze daarnaast willens en wetens liegen op hun website over "end to end encryption" denk ik dat het duidelijk is dat ze dit als een bewuste strategie gebruiken.
In elke andere branche zou je als bedrijf gewoon beboet worden voor het bedriegen of in gevaar brengen van je klanten.
Nogal makkelijk om te stellen dat de resources minder zijn dan de grootste ontwikkelaars in de wereld. Het gaat er toch niet om of het minder resources dan Facebook zijn maar of je als ondernemer voldoende resources hebt en ze op een gepaste manier in zet? Zoom heeft meer dan 1900 medewerkers, honderdenmiljoenen omzet per kwartaal en zou in ruim 8 jaar tijd geen resources hebben om privacy voorwaarden op te stellen die privacy beschermen in plaats van weggeven? Geen resources hebben om de klanten goed te informeren waar ze welke encryptie gebruiken? Geen resources hebben om te zorgen voor het ontdekken of in ieder geval snel kunnen verhelpen van security bugs? En nu de media aan de poort staat blijkt het allemaal wel opeens te kunnen? Dit heeft niets met minder resources te maken, meer jaren lang hele andere prioriteiten hebben.
Niemand kan vanuit het niets een serieus softwarepakket op het formaat van Zoom schrijven zonder beveiligingsproblemen.
Nu Zoom is doorgebroken kunnen ze eindelijk echt gaan investeren in kwaliteit.
Je gaat er hier vanuit dat Zoom een jongere partij is, maar dat is helemaal niet zo. Zoom bestaat al sinds 2011 en zijn al lange tijd een van de grootste partijen op het gebied van online meetings.

Zoom heeft geen kinderschoenen of melktanden meer, het is absoluut niet onredelijk om te verwachten dat ze geen enorme security issues meer hebben op dit punt. Het is waar dat je niet zomaar iets als Zoom opzet zonder problemen, maar Zoom is niet zomaar opgezet, het is al 9 jaar in ontwikkeling.
Mooi dat ze een Mea Culpa slaan en aan het werk gaan in plaats van een zak excuses open te trekken. Hier kan ik respect voor opbrengen.
Ik niet. Ik vind dit net zo ongeloofwaardig als Facebook iedere keer. Als het nou een enkel bugje was en de allereerste keer, dan was het anders. Zoom heeft alleen een lang-bestaand patroon van zich geen zak interesseren voor de veiligheid en privacy van de gebruikers.

Ze zijn alleen reactief, als de kritiek in de media te groot wordt.

Zoom gewoon *niet* gebruiken en op zoek naar alternatieven.

En wat is volgens het verschil tussen "een zak excuses" en "sorry"/"Mea culpa"?!?

[Reactie gewijzigd door Keypunchie op 2 april 2020 11:38]

Inderdaad, het spreekwoord: vertrouwen komt te voet en gaat te paard, is hier wel van toepassing. Ik zou niet snel Zoom gaan gebruiken omdat de slechte beveiliging getuigt van weinig interesse in privacy/veiligheid, danwel in matige developers. In beide gevallen kies ik liever voor een andere app, met name voor zakelijk gebruik.
Daarnaast, het geld wat ze al verdient hebben met het stiekem doorverkopen van data gaan ze echt niet teruggeven oid. Wat mij betreft is dit het zoveelste voorbeeld van mensen die met een techbedrijfje die snel geld willen verdienen, vervolgens excuses maken en boetes accepteren, en waarschijnlijk op dezelfde weg verder zullen gaan.
Ik zie zoom overal gebruikt worden omdat het zo simpel is. De user-experience voor het opzetten van een conf. call is zo gelikt en soepel dat de drempel voor niet techneuten om het te gebruiken vrijwel niet bestaat. Mijn zoon van 8 gebruikt het voor zijn dictee met de klas en zelfs Boris Johnson kon het gebruiken voor een kabinet meeting. Dat zelfde gedrag zag ik eerder met het gebruik van dropbox om over de grenzen van de bedrijfsmuur heen documenten te sharen. Voor een grote groep gebruikers is privacy misschien belangrijk, maar als de oplossing is om het moeilijk te maken dan haken ze af. Dit staat helemaal los van vertrouwen.
dat is met jitsi net zo makkelijk.

https://meet.jit.si
En ondertussen zijn er tientallen, zo niet honderden self-hosted versies van mensen die ik wel vertrouw.
Hmm. Open Jitsi met Firefox omdat ik niet meer zo van de Google ben. Staat er een dikke warning in beeld dat het beter werkt met Chrome of Chromium. Dat soort gezeik wil je niet hebben als je een meeting opzet. Of je blokkeert Firefox volledig of je ondersteunt het volledig. Nu wordt ik als gebruiker verward omdat er niet duidelijk is wat er dan precies allemaal niet gaat werken. Verder: goed initiatief, want dat Zoom verhaal krijg ik ook kriebels van.
Het grootste probleem met Firefox aan hun kant is niet dat het technisch niet werkt (zoals met Safari), maar dat Firefox veel meer server-side resources claimt dan chrome based browsers. Ik geloof een factor 3 meer. Dus wanneer je 75 chrome gebruikers kan hebben in je chat, dan kan je met firefox slechts 25 aan.

Waarom Firefox dan zoveel meer resources nodig heeft weet ik niet. Het is niet alsof de jitsi ontwikkelaars niet samenwerken met Firefox: https://gfoss.eu/firefox-...on-for-jitsi-videobridge/
Vanuit de gebruiker geredeneerd is dat natuurlijk niet belangrijk. Voor de maker wel (dat snap ik). Mijn punt was dat Zoom zo simpel is dat mijn zoon van 8 het geinstalleerd heeft en een meeting met zijn klas kon doen. Dat niveau van simpel wil je voor videobellen. Net zoals gewoon telefoneren zo eenvoudig is dat iedereen het in 30 seconden kan leren en geen verassingen heeft.
Dat is ook zo gedaan met een Skype of Teams meeting. Het enige verschil met het plannen van een normaal overleg in Outlook is de knop die je aanklikt. Deelnemers hoeven ook geen (onveilige client ) te downloaden om deel te nemen, kan gewoon via de browser.

De pc van je gebruikers onveiliger maken en extra stappen toevoegen voor de gebruiker is nou niet bepaald een geliktere soepelere user-experience. Het is totaal het tegenovergestelde.
Dus een lange historie zeg je en vervolgens link je naar een artikel over het enkele feit dat de Zoom app op de Mac een tijdje een lokale webserver installeerde die *potentieel* te misbruiken was. Terwijl er vanuit usability oogpunt voor werd gekozen en om werd gevraagd.

Vervolgens geeft dat artikel ook nog eens aan dat er daarna netjes over is gesproken, e.e.a is terugedraaid. En vervolgens komt er ook nog eens tweet langs die stelt dat veel meer apps zijn die lokale webservers opzetten.

Mij heb je niet echt overtuigd van de kwade bedoelingen van Zoom. Echt niet.
Het is toch echt een stuk erger dan een eenmalige uitschuiver en wijst op behoorlijke nalatigheid, en allesbehalve nette communicatie naar gebruikers toe. Deze link haalt er een aantal aan: https://objective-see.com/blog/blog_0x56.html Onder andere https://twitter.com/c1tru...m%2Fblog%2Fblog_0x56.html toont zwaar shady gedrag aan, lees "If the App is already installed but the current user is not admin, they use a helper tool called “zoomAutenticationTool” and the AuthorizationExecuteWithPrivileges API to spawn a password prompt identifying as “System” (!!) to gain root (including a typo)."

De conclusie van het artikel (interessante read als dat iets is wat je aanspreekt):

"Today, we uncovered two (local) security issues affecting Zoom’s macOS application. Given Zoom’s privacy and security track record this should surprise absolutely zero people.

First, we illustrated how unprivileged attackers or malware may be able to exploit Zoom’s installer to gain root privileges.

Following this, due to an ‘exception’ entitlement, we showed how to inject a malicious library into Zoom’s trusted process context. This affords malware the ability to record all Zoom meetings, or, simply spawn Zoom in the background to access the mic and webcam at arbitrary times! 😱

The former is problematic as many enterprises (now) utilize Zoom for (likely) sensitive business meetings, while the latter is problematic as it affords malware the opportunity to surreptitious access either the mic or the webcam, with no macOS alerts and/or prompts."

Een andere post die hier ook al gelinkt staat over de topic is https://www.iculture.nl/tips/zoom-beveiliging/, daar worden ook wat issues geraised, bv hun wat zij communiceren als 'end-to-end encryption' is dat niet, zij zien daaronder enkel zoom-server naar andere zoom-server encryptie. Dat is gewoon liegen.

[Reactie gewijzigd door Mathieu_Hinder op 2 april 2020 12:52]

Gezien de hoeveelheid uitschuivers die nu naar voren komt, vraag ik me af of je dit wel uitschuivers moet noemen. Het lijkt er haast op dat er enige opzet in het spel is. Misschien niet vanuit het bedrijf, het kan ook vanuit een aantal ontevreden werknemers komen.
Vanuit het bedrijf is de controle vanuit het bedrijf lijkt weinig sprake te zijn. Men laat dat kennelijk aan de praktijk over. Zeker in combinatie met jouw laatste punt (de zogenaamde e2e encryptie) lijkt het bedrijf ook wel bewust te kiezen om zich mooier, beter en professioneler voor te doen dan het zooitje dat het in de praktijk blijkt te zijn.

Ik ben blij dat ik Zoom nog niet heb geprobeerd.
Gezien de hoeveelheid uitschuivers die nu naar voren komt, vraag ik me af of je dit wel uitschuivers moet noemen. Het lijkt er haast op dat er enige opzet in het spel is.
Dat heet opzettelijk er met de pet naar gooien om goedkoop uit te zijn.
Of zoals John Gruber heel mooi verwoordde in zijn blog post Regarding Zoom:
Zoom’s institutionally cavalier attitude to privacy
Een lang verhaal, maar dezelfde verdenking.
Toch wel grappig: https://objective-see.com/blog/blog_0x56.html
Hier was ik continu in de illusie dat macOS veel veiliger zal zijn dan Windows.
Mij heb je niet echt overtuigd van de kwade bedoelingen van Zoom. Echt niet.
Heb je wel eens software geschreven? Daar zit beste een hoop tijd en moeite in. Functies zoals die door Zoom gebruikt werden en zaken als web servers die niet verwijderd kunnen worden zonder diepgaande systeemkennis, die waaien niet zomaar je software in. Daar moet je echt je best voor doen om dat te laten werken.

Als dit soort spul in Zoom zit, dan is dat er welbewust in gebouwd.
Maar de vraag is of de alternatieven dan wel betrouwbaar zijn. Ik betwijfel het. Je wordt meestal door de hond of kat gebeten.
Je hebt goede open-source alternatieven waar deze problemen zich niet voordoen, zoals https://jitsi.org en https://bigbluebutton.org


edit: typo

[Reactie gewijzigd door bvdli op 2 april 2020 13:35]

jitsi werkt volgens mij niet met 100 of meer personen...

En de demo van die andere werkt niet, dus dan is er ook al weinig vertrouwen.. https://demo.bigbluebutton.org/

[Reactie gewijzigd door telenut op 2 april 2020 15:47]

Ik neem aan dat je 10 bedoelt? 100+ meetings zijn er tegenwoordig niet zo veel meer van ;)
die zijn er wel degelijk... Als wij in het ziekenhuis alle hoofdverpleegkundigen willen spreken bijvoorbeeld. En ja, je wil die ook allemaal de kans geven iets te zeggen.
Nooit bij stil gestaan eigenlijk. Is dat werkbaar via zo'n massa tele meeting?
Zeer zeker. Wel iedereen default muten. En als er veel vragen zijn, dat ze die eerst stellen via chat. Dan kan die persoon rechtstreeks aangesproken worden.
Ik begrijp ook niet dat mensen zich telkens door hetzelfde truucje bij de neus laten nemen. Wanneer een bedrijf/persoon een track-record heeft van fundamenteel kwalijk gedrag/keuzes, dan is er wat meer dan excuses en goede intenties uitspreken voor nodig om het verleden weg te kunnen poetsen.
Zien we dat niet overal? Er wordt een feature geïntroduceerd, de wereld op zijn kop. Feature wordt terug getrokken met sorry. Iedereen blij. Later wordt die feature in stapjes, licht afgeslankt of wat dan ook toch toegevoegd. Men is er aan "gewend"... oké dan vind ik het nu wel prima.

Ik kan het niet vaak genoeg herhalen, maar dit is de manier van Facebook en Google (en meer) om steeds meer data binnen te harken. Aldus Tegenlicht: De Grote Dataroof.
Ik wist niet dat het zo persoonlijk voor je was. Ik raad je toch aan om die documentaire eens te kijken. Je mag dan best met een briefje turven hoe vaak de namen Apple, Facebook, Google, Amazon en Microsoft genoemd worden.

Misschien om nog enige nuance aan te brengen. Apple is ook niet perfect en ook zeer zeker een commercieel bedrijf met een bepaalde tactiek. Anders dan Facebook en Google, dat eigenlijk advertentie netwerken zijn, verdient Apple aan zijn producten en diensten.
Hoe kun je beter advertenties verkopen (althans denkt men) is door ze persoonlijk te maken. Wat heb je daarvoor nodig? Data, heel veel data. En daarmee is de cirkel weer rond. Dat is de reden dat ik Facebook en Google noemde.
De meeste mensen interesseren zich totaal niet voor beveiliging of privacy. Dus ik begrijp het heel goed dat ze hiermee wegkomen.
Beter zou zijn als ze per direct de hele boel zouden afsluiten, terug gaan naar de tekentafel en pas terugkomen als het wél goed is. Maar ik ben bang dat het kwakkelen blijft.
De meeste mensen interesseren zich totaal niet voor beveiliging of privacy.
Zoals Zoom. :+
Beter zou zijn als ze per direct de hele boel zouden afsluiten, terug gaan naar de tekentafel en pas terugkomen als het wél goed is. Maar ik ben bang dat het kwakkelen blijft.
Gaat niet gebeuren. Zoom staat op de beurs, en is wettelijk verplicht om de aandeelhouders tevreden te houden.

[Reactie gewijzigd door The Zep Man op 2 april 2020 12:06]

en is wettelijk verplicht om de aandeelhouders tevreden te houden.
Nee, dat zijn ze niet. Alleen als er sprake is van wanbeleid dat kan dit via het gerecht aangepakt worden, zolang dat niet het geval is moeten de aandeelhouders het gewoon met de normale middelen die ze tot hun beschikking hebben doen.
Even opgezocht, en dat klopt. Toch zal de praktijk vaak zijn dat eerst naar de pijpen van de aandeelhouders gedanst wordt. Geld is immers geld.
Nou dat niet alleen, zij weten ook wel dat het de mensen geen fluit interesseert wat er met hun gegevens gedaan wordt en of ze veilig zijn.
Dat zie je bijvoorbeeld ok aan Facebook dat onverminderd populair is ondanks alle berichtgeving. Uiteindelijk hebben de overheden ze min of meer gedwongen om zaken aan te pakken en niet de angst dat de gebruikers weg zouden lopen.
Dat ze daadwerkelijk bestraft worden.
Zelfs strafrechterlijk voor bepaalde inbreuken.
Laten we niet doen alsof de alternatieven foutloos zijn. Ook daar worden bugs gevonden. Je bent met veel belangrijke componenten bezig, dus is het niet raar dat inbrekers daar misbruik van willen maken. Sowieso als een dienst zich gratis aanbiedt, moet je goed kijken wat het verdienmodel is en wat men met je gegevens doet, daar is Zoom geen uitzondering in.

Het lijkt me duidelijk dat de populariteit de app in een ander daglicht heeft gezet. Als men dan dit soort stappen neemt, dan is er eindelijk een stukje verantwoordelijkheid te zoeken. Wellicht is dit de start van verandering?
Mja, de installer op macOS heeft anders veel weg van malware op de manier waarop het zich installeert. Dat is gewoon maling hebben aan 'by design'.
Je kan veel vraagtekens stellen bij de manier waarop het zich installeert. Je kunt diezelfde vraagtekens stellen dat het op macOS überhaupt mogelijk is dat de app zich op die manier installeert.
Ik denk dat met de huidige reacties en terug trekkende klanten dit bedrijf wel weer blijvend OK kan worden mits ze security tot in hun core laten doordringen. Intel was ook zo'n bedrijf waar ze behoorlijke steken hebben laten vallen met o.a. AMT. Toch denk ik dat Intel inmiddels is doordrongen van de security eisen die klanten stellen. kwetsbaarheden blijven er altijd. het is de vraag hoe een bedrijf ermee om gaat. Vooralsnog heeft Zoom hierin gefaald, maar als ze hun zaakjes goed op orde krijgen zie ik nog een goede toekomst voor ze. En anders is het denk ik snel afgelopen met hun mooie beurskoers.
Een lang bestaand patroon betreffende 1 lekkende server geinstalleerd op macs. Overdrijven is ook een vak. Dat maakt het betreffende lek natuurlijk niet minder erg of de twijfels over hun privacy beleid, voornamelijk als ze dus blijkbaar zomaar de Facebook SDK voor van alles en nogwat gebruiken. Echter, die twijfels kun je hebben bij zowat alle grote comms apps (whatsapp / telegram / slack / zoom / skype / google hangouts / webex, etc), vooral als het een gratis stuk software betreft (OSS is mogelijk een uitzondering). Het liefst zou je dit soort software denk ik in een VM draaien (of sandbox ofzo).

Also: ik las 'een zak excuses' als 'een zak smoesjes' (waarschijnlijk een anglicisme). Dat is wel degelijk anders dan een 'mea culpa'.

[Reactie gewijzigd door DwarV op 2 april 2020 11:47]

Zie mijn reactie waar er wat meer links in staan over de shady praktijken en rits aan problemen, doelbewuste misleiding die ze erop nahouden. Er is heel wat meer dan 1 server geval (en dat op zich is al een extreem problematische issue) Mathieu_Hinder in 'nieuws: Zoom zegt sorry voor beveiligingslekken en pauzeer...
Ze zullen wel moeten, op dit moment de populairste videobeller, bedrijven stappen massaal over.
Maar het siert ze inderdaad.
Ik snap nog steeds niet helemaal waarom bedrijven overstappen. Wat heeft Zoom wat alternatieven niet hebben? Helemaal als het al gratis te gebruiken is en werkt met de verdere authorizatie-ketens. Als je Office365 hebt, waarom zou je dan Zoom ipv Teams gebruiken bv.
Voor zover ik kan vinden, gebruik het zelf niet, Teams is in vergelijking met Zoom vrij log. UI van Zoom is een stuk gebruiksvriendelijker.

https://www.unifysquare.c...er-for-your-organization/
Als een goede UI een graadmeter was voor populariteit, dan had snapchat nooit gescoord ;)

Verder vind ik teams wel prima. Het ligt er vooral aan hoe je het inricht en hoe actief het gebruikt wordt. Dat iets log is, maakt me ook weinig uit. Het is niet alsof mn PC de hele tijd op 99% load staat

[Reactie gewijzigd door Martinspire op 2 april 2020 12:12]

Het voordeel van Teams (1 omgeving waarin je alles kunt doen) is meteen ook het nadeel. Een lossen communicatie app is soms handiger dan geintegreerd in je collaboration tool. Als je in Teams een video conference hebt en je gaat even een document opzoeken wordt je videoschermpje direct een postzegel. Door het los te koppelen heb je voor beide zaken een goed overzicht.
omdat het gewoon werkt... de geluidskwaliteit bij skype en teams is bij ons gewoon bagger. Terwijl het met dezelfde infrastructuur perfect werkt in zoom (of hangouts of...)
En vooral als je meetings wil doen met meer dan 5 personen dan. In Teams kan je er al maar 4 gelijktijdig zien... De configuratie van de skype client (als ze al de juiste hebben staan) is ook te complex. En heb je een chromebook, dan werkt die ook al niet.
Features, gebruiksvriendelijkheid, hogere kwaliteit, bestaande userbase. Teams bestaat net pas en die kunnen ook alleen maar snel bewegen omdat het zo klein is en eigenlijk allemaal in beta.
Zoom is een ongeloofwaardige partij.
SpaceX heeft ook zojuist besloten om zoom te bannen. Elke partij die een beetje geeft om privacy moet dit doen.
Zooms beleid is vergelijkbaar met Facebook en Google. Er wordt veel geld verdiend aan profiling. Dat gaat zoom niet zomaar aan de kant schuiven. Tenzij alle gebruikers zoom bannen.
Als je een bewering doet dat een bedrijf ongeloofwaardig is en veel geld verdienen aan profiling dan vind ik ook dat je dat moet bewijzen. Anders roep je alleen maar een ongefundeerde mening.

Je hebt het over de tegenwoordige tijd. De privacy voorwaarden kort geleden flink aangepast. De privacy voorwaarden maakte in theorie voor zoom veel mogelijk maar er zaten ook beperkingen in. Uit weinig blijkt tot nu toe dat ze werkelijk zo veel deden als ze konden en zeker niet of het vergelijkbaar is met de praktijken van Google of Facebook. Zo is dat lekken van gegevens naar Facebook alleen gebleken in een bepaalde applicatie voor een specifiek platform.

Als ik geloofwaardigheid zou meten zou ik niet alleen naar het verleden kijken maar ook naar wat ze nu doen. En in tegenstelling tot veel andere bedrijven passen ze de voorwaarden na kritiek wel aan, passen ze code aan om security bugs te verhelpen, verwijderen ze functies die gewone gebruikers niet willen, leggen ze zaken over beveiliging duidelijker uit. Of dat genoeg is weet ik niet. Maar bij heel veel andere bedrijven ben je waarschijnlijk nog slechter af omdat daar nog niemand met een vergrootglas op heeft geschenen. Het lijkt er in ieder geval nog niet slechter op aan het worden in geloofwaardigheid.
Fool me once, shame on you; fool me twice, shame on me

Iculture (ja, daar zitten nog echte redacteuren) heeft er mooi artikel over geschreven:
https://www.iculture.nl/tips/zoom-beveiliging/
Dubieuze Mac-installer, Lekken van gegevens, Windows-wachtwoord lekken, Geen end-to-end versleuteling, één en al respect voor deze software leverancier. Gaan we gewoon nog een kans geven!
Het is geen mea culpa. Het excuus lijkt er op neer te komen op de verklaring dat zoom diensten bedoeld zouden zijn voor grote bedrijven en al die beveiligings bugs, die onduidelijke en foute privacy voorwaarden en de onduidelijke (misleidend te noemen) uitleg wat voor beveiliging je echt krijgt dan dus maar normaal zou moeten zijn.

Dat ze diensten maken die eigenlijk bedoeld zijn voor grote bedrijven wil ik best geloven. Maar dat is geen excuus om je diensten zo slecht op te zetten. En om dan je diensten aan gaat bieden aan iedereen die het maar wil gebruiken maakt het er niet geloofwaardiger op.

Wat ik meen te zien is een bedrijf dat een dienst op de markt is gaan zetten en het niet zo veel kon schelen wie het werkelijk zou gebruiken, of het wel allemaal klopte wat ze deden en er mogelijk geen rekening mee heeft gehouden dat het zo massaal niet in dank zou worden afgenomen door het grote publiek.

Waar ik waardering voor kan opbrengen is dat ze tenminste wel de moeite nemen om de privacy voorwaarden te verbeteren, die tracking functie verwijderen, de security bugs inmiddels wel snel proberen op te lossen, nu wel duidelijk zijn in uitleg welke beveiliging je werkelijk hebt, zich ook richten op andere gebruikers en ze inmiddels lijken te snappen dat de eerdere houding niet meer past.
Daar kunnen veel bedrijven inderdaad van leren. Zoom is ineens enorm hard gegroeid en heeft daarom alle zeilen bij moeten zetten waardoor dit soort dingen erin konden komen.
Capaciteit heeft niks te maken met rotte code, het omzeilen van beveiligingen in het OS en het doorspelen van persoonlijke gegevens aan Facebook.

De enige reden is dat ze nu zo bekend zijn geworden en onder een vizier liggen dat alles openbaar wordt. Nu móeten ze wel iets doen, anders zijn ze straks na de crisis hun bestaansrecht kwijt.
Te laat, liever een open source decentraal alternatief dat je bovendien zelf kunt hosten: Jitsi d:)b

[Reactie gewijzigd door Jace / TBL op 2 april 2020 11:44]

Open source is altijd mooi, resources bundelen _/-\o_
Maar Jitsi kan ook vol zitten met security gaten, nu het meer populariteit heeft, kunnen we daar ook meer over verwachten.
Open Source != veilig idd
Klopt, open source is uiteraard zeker geen garantie voor veilig.

Aan de andere kant kijken er met open source ook meer mensen mee. En zeker met een decentrale opzet (als je het zelf host) wordt het ook alweer een ander verhaal.

Daarnaast houd je met closed source behalve het risico op onbedoelde security leaks (gevaarlijke bugs) ook het risico dat het bedrijf in kwestie er zelf bewust wat backdoors of andere lekken in heeft verstopt. Dus it's not a bug, it's a feature (voor het bedrijf zelf). Zou zeker niet de eerste keer zijn.

Met 200 miljoen gebruikers zitten ze op een berg logs en metadata die potentieel heel veel geld waard kan zijn. Ten nadele van de gebruikers wel te verstaan. Dat risico sluit je met open source wel uit.
Te laat: ja oke.
Maar excuses worden wel gewaardeerd.

Anderszijds denk ik ook: als iedereen Jitsi gaat gebruiken zullen daar vroeg of laat ook veiligheidslekken naar boven komen.
Geen zin om zelf wat te hosten? Dan kan je ook Jami kiezen. Dankzij DHT is dat echt decentraal. :)

[Reactie gewijzigd door The Zep Man op 2 april 2020 12:02]

Is dat een beetje te doen qua kwaliteit en stabiliteit? En hoeveel mensen kun je tegelijkertijd zien? Website is, zoals bij de meeste producten, ontzettend nietszeggend.
Ik heb geen diepgaande analyse gedaan. Conference calls zouden moeten werken volgens de FAQ.

Volgens deze review uit september was er veel te verbeteren. Ik weet niet of het inmiddels al beter is op de genoemde punten.

[Reactie gewijzigd door The Zep Man op 2 april 2020 12:12]

Ik zou liever zien dat er een alternatief is dat transparant is en waar je controle over hebt. Het is vaak veel van het een en weinig tot niets van het ander. Wat nog het meest in de buurt lijkt te komen is Wire. Die maken de code openbaar, die laten de code en systemen testen en maken de resultaten publiek, bieden een on premises oplossing aan. Helaas is het in functionaliteit wat beperkt, als lijkt er veel meer mogelijk als je het zelf kan draaien.
Ik ben zeker voor transparant en zelf controle. Maar dat is Jitsi toch?
Allicht is het niet de enige, er zijn meer alternatieven.
Wire ken ik overigens niet, maar je beschrijving klinkt hoopvol.
Ze zijn beiden op veel punten transparant. Maar ik wil ook voldoende controle voor gebruikers en dat heb ik bij Jitsi op twee belangrijks punten niet.

Jitsi heeft geen end-to-end encryptie. De gebruikers moeten er maar op vertrouwen dat niemand mee kijkt of luistert. Als je het alleen in je eigen bedrijf gebruikt is dat waarschijnlijk niet zo'n probleem, maar waarom zou ik de jitsi service van een ander vertrouwen?

Als ik bij Jitsi wil weten of ze voldoende doen aan kwaliteit van de code en de beveiliging dan moet ik dat zelf gaan controleren. Dat is leuk als je genoeg tijd of geld hebt maar dat hebben veel gebruikers niet. Bij Wire laten ze tenminste zien waar controles op zijn gedaan op gebied van beveiliging. Niet dat je daar volledig op wil vertrouwen, maar dat is al veel beter dan dat je maar moet hopen dat het goed genoeg is. Helaas laat de jitsi documentatie voor beveiliging ook te wensen over, wat ook niet mee helpt.

Vandaar mijn opmerking dat ik liever zie dat er een alternatief is dat zowel transparantie als controle geeft. Open source zijn is niet genoeg.
En jij denkt dat iedere organisatie dat eventjes implementeert? Hoe zie je het voor je dat een doorsnee basisschool dit even doet op het moment dat ze worden geconfronteerd met remote onderwijs. Dan is een standaard gehoste service toch veel logischer?
Nee, ik denk niet dat iedere organisatie dat "eventjes" implementeert.

Overigens hoef je het niet zelf te hosten, maar dat het kan lijkt mij een zeer groot voordeel.

Het maakt ook de overstap laagdrempeliger. Als je naar die website gaat kun je in een paar minuten je eerste call beginnen. Is dan nog extern gehost uiteraard. Zo kun je het heel makkelijk een tijdje proberen. Bevalt het, en werkt het goed voor de gegeven context of situatie, dan loont het misschien later de moeite om wat extra tijd te steken in zelf hosten. Of als je daar geen zin in hebt of het trustless- en privacy- en onafhankelijkheidsaspect je niks boeit, dan houd je het lekker extern.

Er zit trouwens ook een andere kant aan dit verhaal: door lekker makkelijk voor Zoom te kiezen, belast een organisatie ook hun klanten, leerlingen, gebruikers, enzovoort met de verplichting om een gevaarlijk stuk software (potentieel zelfs malware) te installeren. Het is een beetje korte termijn denken om dat nadeel zomaar te negeren.
Als docent die hekelt aan de ICT die op zijn school beschikbaar is: thank you! Ik ga er gelijk naar kijken.
Mooi hoe ze dit oppakken, geen smoesjes maar aanpakken.

Zoom had natuurlijk ook er niet op gerekend dat zoveel mensen plots uit huis zouden werken.
Op Linkedin word ik doodgegooid met positieve verhalen over Zoom. Uiteraard is de plotselinge gang van zaken geen reden om je security niet op orde te hebben.
Eh mooi? Als je het zo bond maakt dat de US waakhond een full scale investigation gaat doen en al verschillende partijen het gebruik van Zoom aan het verbieden zijn. Dan is dit niet aanpakken maar damage control. Daarnaast werd er voor kort ook alle data doorgestuurd naar Facebook en waarschijnlijk andere partijen.
https://www.vice.com/en_u...t-have-a-facebook-account

[Reactie gewijzigd door bloodlynx op 2 april 2020 12:17]

Nee, dit is geen damage control.
Damage control is wat Rumag afgelopen week deed door verklaringen te geven waarin zij zichzelf deels vrijspreken van de beschuldigingen door Lubach.

Wat Zoom nu doet is erkennen dat er inderdaad problemen waren en het oplossen. Dat er zaken daarnaast lopen, ja dat klopt.
Ze zijn al een week in opspraak, als ze niet zoveel negatief in het nieuws waren geweest had Zoom helemaal niks erkent.
Ik snap niet wat je vergelijkingen te maken hebben met het mooi zijn dat een bedrijf zich aanpast.

Dat een waakhond onderzoek gaat doen wil niet zeggen dat er werkelijk iets mis is. Onderzoek doet een toezichthouder gewoonlijk ter controle, waarbij de omstandigheden waarschijnlijk meebepalen of ze het nodig vinden om die controle te doen en hoe snel.

Dat verschillende partijen het gebruik verbieden zegt ook weinig. Het zegt zelfs eerder iets over de partijen zelf, hun medewerkers en het beleid om wel of geen diensten te accepteren.

Het enige bewijs wat je dus geeft wat echt iets zegt is dus dat zoom in een bepaalde applicatie voor alleen iOS een implementatie had waarbij gegevens toch naar een facebook werden gezonden. Als dat hun opzet was, waarom is het dan niet in de osx, windows en android versies ontdekt? Het klinkt eerder als een flinke blunder in de implementatie. Een die je uiteraard niet hoeft te accepteren, maar ze hebben het wel meteen verholpen. Net zoals ze heel veel zaken inmiddels aangepast hebben. Wat is daar niet mooi aan?
Mooi hoe ze dit oppakken, geen smoesjes maar aanpakken.
Naja, beloven het aan te pakken. Eerst maar eens zien.
Ik wil ze verder niet verdedigen, maar eerst zien:

In de laatste paar dagen hebben ze de Facebook SDK er uit gehaald, Attention tracking disabled. Ze zijn duidelijk stappen aan het ondernemen.

Zoom is relatief nieuw en heeft zich vooral gefocussed op gebruiksvriendelijkheid en betrouwbaarheid van functionaliteit.
Wat mij betreft tippen Teams, BlueJeans, Jitsi (leuk voor de thuisgebruiker, maar niet voor enterprise environments), WebEx, GoToMeet, HangOuts allemaal niet aan het gebruiksgemak van Zoom.
Dat is geen goed praten, maar ze hebben duidelijk de focus niet helemaal goed gehad. Excuus en eerste maatregelen zijn een eerste goede stap.
Bij mijn werkgever is deze week een bericht uitgestuurd dat Zoom een "app-non grata" is vanaf heden. Communicatie met collega's en externe partijen dient voortaan alleen via Teams, Skype en/of Webex gevoerd te worden.
Ik mag hopen dat penetratie testen een vast onderdeel is(of nu dan wordt) van het release proces. Dit mag je wel verwachten van een oplossing zoals dit.
Ik las ‘zoon zegt sorry voor beveiligingslekken ...’ :X
Dit valideert toch weer mijn keuze om geen aparte cliënt te installeren wanneer al de functionaliteit die Zoom biedt toch al veilig door mijn webbrowser wordt voorzien. Ik begrijp dat het moeilijk is om nee te zeggen wanneer je op de meeting link klikt tegen het aanbod om de desktop versie te downloaden....
Moeten we de mogelijkheid om via software (verkeerde linkjes) het Windows wachtwoord te achterhalen niet als een hele ernstige bug in Windows zien?
Als Zoom dit al misbruikt (al dan niet per ongeluk) toont wel aan hoe gemakkelijk het Windows wachtwoord is te achterhalen. Nu de methode gewoon in elke krant stond, kan iedereen dat gebruiken.
Kunnen ze ook het Windows wachtwoord opvragen als je gebruik maakt van een o365\Outlook account. Lijkt me niet dat dat wachtwoord als plain-tekst op je pc staat.. Zowel is de bug meer een Windows issue lijkt me. Beetje raar om daar zoom voor aan te pakken.
Het wachtwoord is ergens in het register opgenomen. Of dat encrypted is of plain tekst weet ik niet. Het is in elk geval met een systemcall als plain tekst op te vragen. Er bestaan zelfs tooltjes voor die dat voor je kunnen doen. Die kunnen overigens van veel meer software de registratie-codes opvragen, maar verder geen andere wachtwoorden.
Dat Zoom dit in de software heeft staan is verwijtbaar, maar MicroSoft had hier ook op moeten reageren met een snelle fix.
De bloemlezingen online zijn niet min. Zoom is echt te mijden (zie heise.de - zie /.). Zoom stond al meermaals op mijn zwarte lijst. Daar komen ze gewoon nooit meer af!

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True