Zoom stelt adviesraad met beveiligingsexperts aan

Zoom gaat samenwerken met experts uit de beveiligingswereld om verschillende problemen in het platform op te lossen. Het bedrijf heeft daarvoor een adviesraad opgesteld. Het bedrijf heeft daarnaast de oud-beveiligingsbaas van Facebook Alex Stamos binnengehaald als consulent.

In de adviesraad zitten de chief information security officers van verschillende grote techbedrijven. Die werken onder andere bij VMware, Netflix, Uber en EA, schrijft Zoom-ceo Eric Yuan in een blogpost. "Met deze CISO-raad zetten we een adviesraad op met mensen die mij persoonlijk gaan adviseren", schrijft Yuan. "Deze groep zorgt eroor dat privacy en beveiliging vooraan staan bij alles wat we doen bij Zoom." Naast de adviesraad wordt ook Alex Stamos betrokken bij het bedrijf. Hij treedt aan als een 'externe consulent', schrijft hij in een blog. Hij komt niet bij het bedrijf werken, maar krijgt 'een begeleidende rol'. Stamos was de chief information security officer bij Facebook in de tijd dat het Cambridge Analytica-schandaal plaatsvond, maar werkt sinds 2018 niet meer bij het sociale netwerk.

Zoom heeft de laatste weken veel last van problemen rondom de veiligheid van de dienst. Die zou onder andere informatie naar Facebook sturen, e-mailadressen laten uitlekken, en toegang tot de microfoon en camera toestaan terwijl dat niet de bedoeling was. Het bedrijf maakte vorige week zijn excuses en beloofde de komende tijd geen nieuwe features meer te ontwikkelen, maar alleen nog te werken aan het repareren van kwetsbaarheden. Stamos verdedigde het bedrijf eerder deze maand nog. Op Twitter noemde hij de voorvallen 'shallow bugs'.

Reacties (48)

jeroenk13 8 april 2020 19:05

"Deze groep zorgt eroor dat privacy en beveiliging vooraan staan bij alles wat we doen bij Zoom."

En dan haal je mensen van Facebook aan boord

Dit lijkt me gewoon om gezichtsverlies te voorkomen.

gorgi_19 @jeroenk13 • 8 april 2020 22:23

Als je kijkt naar zijn track-record op het gebied van security, dan is daar weinig op aan te merken (bron: https://cisac.fsi.stanford.edu/people/alex-stamos-0).

Zoom heeft een probleem met de keuzes die ze maken rondom security; deels is / was die zwak, deels security by obscurity en deels implementaties die gemak boven security stellen. Dat als gevolg van zwakheden in de beveiliging de privacy in gevaar is, is wat anders dan bewust privacyschendingen doen voor financieel gewin.

Zoom heeft primair een security probleem en als gevolg daarvan een privacyprobleem.

wankel @gorgi_19 • 9 april 2020 09:03

Zoom heeft een probleem met de keuzes die ze maken rondom security; deels is / was die zwak, deels security by obscurity en deels implementaties die gemak boven security stellen ...

... en deels een gebrek aan respect voor hun gebruikers:

'shallow bugs'.

Onaangekondigd een webserver op iemands machine zetten is geen shallow bug, het is een ontwerpbeslissing die je enkel kan maken bij gebrek aan respect voor je gebruiker.

Zoom heeft primair een security probleem en als gevolg daarvan een privacyprobleem.

Zelf zullen ze het primair zien als een marketing-probleem, daarna als finacieel probleem, en pas veel lager qua prioriteit security en privacy.

loki504 @jeroenk13 • 8 april 2020 19:27

Zover ik weet komt alleen stamos daar als extern consult werken. En nu ken ik zijn rol niet in het schandaal. Maar als er mensen boven je zeggen Nee gaan we niet doen. Kost teveel geld. Dan kan je ook vrij weinig doen.

Rob Coops @loki504 • 9 april 2020 00:25

Sorry maar als CISO ben jij toch wel de laatste persoon op de CEO na, en een CEO zal echt geen richting zal geven aan dit soort implementatie besluiten binnen een miljoenen/miljarden bedrijf.

Zoom heeft heel er snel veel terrein gewonnen in de video conferencing space, en dat heeft voor een hele groot deel te maken gehad met het gemak van de tool en de snelheid van innovatie. Security was duidelijk een ondergeschoven kindje en dat was geen probleem toen ze nog een kleine speler op de markt waren maar nu ze flink zijn gegroeid zijn ze ook een veel interessanter target geworden om aan te vallen.
Zij hebben duidelijk gegokt op marktaandeel en dan lossen we de security issues wel op, in plaats van security maar een klein marktaandeel. En dat is best goed te begrijpen als je 10 man in dienst hebt is security simpel weg minder belangrijk dan het bedrijf draaiende houden als je met bedrijven zo als Microsoft (Skype) wil kunnen concurreren en als het ze lukt om de security issues snel aan te pakken (ze hebben in middels aardig wat developers in dienst dus ze hebben voldoende mensen omdat redelijk snel te doen) zonder dat het gebruiksgemak flink minder wordt of het de innovatie in de toekomst remt zullen ze het waarschijnlijk wel overleven, en er zelfs sterker terug komen.

Dat Stamos nu de een consultancy rol krijgt binnen het bedrijf is niet zo gek de man is in middels actief als research professor bij een van de meest vooraanstaande universiteiten op deze planeet en heeft echt wel een beetje een idee als het om security gaat. Nu was hij de verantwoordelijk persoon toen de Cambridge Analytica onzin bekend werd en dus mag je hem dat aanrekenen maar het is maar de vraag of hij hier ook van op de hoogte was (had hij wel moeten zijn). Immers als zijn mensen hem de informatie niet aanleveren en hem vertellen dat alles in orde en hij honderden andere dingen heeft die om zijn aandacht schreeuwen dan kan ik me goed voorstellen dat hij er niet aan toe gekomen is om hier verder naar te kijken. Je bent uiteindelijk ook maar een mens en moet op andere vertrouwen als je verantwoordelijk bent voor een team van tientallen mensen.
Ik vind het dan ook geen slecht idee dat hij als consultant betrokken zal zijn bij het beter beveiligen van de zoom diensten.
Hij zal het in ieder geval niet slechter doen dan de persoon die tot op heden verantwoordelijk was voor de security binnen zoom.

gorgi_19 @loki504 • 8 april 2020 22:26

quote: https://cisac.fsi.stanford.edu/people/alex-stamos-0
Prior to joining Stanford, Alex served as the Chief Security Officer of Facebook.

Er zit vrij weinig meer boven hem

sys64738 Moderator F&V 8 april 2020 19:07

Haha. Iemand van Facebook binnenhalen om de privacy van je gebruikers te verbeteren

Is toch sowieso wassen neus dit. Heeft niks met beveiliging of dat soort shit te maken. Maar gewoon met geld schrapen met onetisch gedrag. Het zijn geen bugs of missers maar gewoon bewuste keuzes. Je hebt toch geen externen of een vage commissie nodig om bewuste keuzes te maken, lijkt me.

ex87 @sys64738 • 8 april 2020 19:54

Alex Stamos is een zeer gerespecteerd persoon in de InfoSec community (en is ook zonder problemen vaak kritisch geweest op FB zelf). Hij is bijvoorbeeld vaak te gast bij RiskyBiz (1 van de toonaangevende Security podcasts).

Stamos geeft tegenwoordig les aan Stanford en het onderwerp is jawel.. Information Security.

bbob @ex87 • 8 april 2020 21:00

Zoom is bezig met windodressing, imago oppoetsen door mensen te gebruiken die naam hebben.

Uiteindelijk is het to little to late.

Douweegbertje @bbob • 9 april 2020 00:24

Wel mooi kort door de bocht.
Alles is te hacken, het is maar net de vraag hoeveel moeite iemand er voor wilt doen. De beweegredenen worden vaak gepushed door faam, geld..of een mix daarvan.
Dezelfde reden dat bug bounty programs van zelfs grote en gerespecteerde bedrijven wel honderden fixes hebben doorgevoerd na de start van zo'n program.
Dus als opeens een product helemaal "hot" is, met misschien wel een factor 10000 aan publiciteit, dan wordt je ook inherent zo'n grote target.

Dit komt terug in van alles, en staat los van security in de algemene zin. Elke bedrijf, die met een factor 10000 groei, die komt links- of rechtsom in de problemen. Resources, bedreigingen, hacks, te korten (op whatever).

Natuurlijk is er een betere basis te leggen en we kunnen van alles roepen, maar ik durf met zekerheid te zeggen dat dit onoverkomelijk was.

mjtdevries @Douweegbertje • 9 april 2020 12:55

Alles is te hacken, het is maar net de vraag hoeveel moeite iemand er voor wilt doen.

Het probleem is dat je er bij zoom zo weinig moeite voor hoeft te doen omdat ze zoveel blunders begaan.

Zoals deze die net naar boven is gekomen:
https://www.security.nl/p...er+met+meetings+meekijken
Die blunder kun je echt op geen enkele manier goed praten.

Carn82 @sys64738 • 8 april 2020 20:31

Haha. Iemand van Facebook binnenhalen om de privacy van je gebruikers te verbeteren

Ik ga niet lopen roepen dat een Stamos een compleet onbesmet blazoen heeft, maar een persoon afrekenen op de koers die een complete organisatie vaart is wel erg makkelijk.. Sterker nog, Stamos is weggegaan bij Facebook omdat hij in de clinch lag met de rest van het bestuur aangaande de toestanden rondom de Russische desinformatie-campagnes die toen via Facebook werden uitgerold.

Verwijderd @sys64738 • 8 april 2020 19:14

Tja, hij is alsnog beter dan iedereen die hem afrekent waarschijnlijk. Dus als je het niet wilt gebruiken zou ik zeggen, gebruik het niet, maar mensen afbranden op zoiets vind ik vrij laag level internet SJW'en.

hrichard @sys64738 • 8 april 2020 19:18

Sterker nog, waarschijnlijk zijn deze mensen alleen maar gekozen vanwege de bekendheid van het bedrijf waar ze werken of hebben gewerkt. Want die bedrijven kent de massa, dus zal het wel goed zijn. De meeste hier zullen juist een volgende rode vlag zien bij deze namen.

sander6 @hrichard • 9 april 2020 00:22

Natuurlijk, want Zoom heeft momenteel niet veel te winnen van veiligheid. Ze staan überhaupt niet in de spotlight bij iedere InfoSec researcher of zo...

mjz2cool @sys64738 • 9 april 2020 08:03

Het is niet iemand van Facebook, daar werkte hij sinds 2018 niet meer, onder andere juist om hoe Facebook met privacy om gaat. Het is ook geen wassen neus, het heeft alles met beveiliging te maken.

Benga 8 april 2020 19:06

Te laat imo. De naam is wel verbrand nu in de corporate wereld. Als ik kijk naar wat Teams vandaag kan en in de toekomst zal kunnen ben ik blij dat mijn werkgever hiervoor gekozen heeft. Zijn hier ook Starleaf gebruikers toevallig?

glatuin @Benga • 8 april 2020 22:27

Het is nog niet te laat, voor de gewone man/vrouw is Zoom veel eenvoudiger in gebruik dan Teams die qua UI een drama is. Als IT-er kijk je er gauw overheen omdat wij het toch wel snappen. Echter ze moeten die security op orde krijgen en niet te veel effort stoppen in het winnen van de onderijs markt want die strijd hebben ze voorlopig verloren.

RoccoS @glatuin • 9 april 2020 08:27

De Teams UI is helemaal geen drama, het is alleen een ander soort applicatie dan Zoom die veel meer op samenwerking is gericht binnen een Office 365 cloudomgeving, waarbij videovergaderen ook een optie is (die in onze ervaring gewoon erg goed werkt). Het is gewoon appels en peren vergelijken wat je doet.

mjz2cool @Benga • 9 april 2020 08:04

Als ik zie wat voor draak van een applicatie Teams is, verwacht ik niet zoveel problemen voor Zoom als ze het nu goed aanpakken.

dutchnltweaker 8 april 2020 19:13

Het bedrijf heeft daarnaast de oud-beveiligingsbaas van Facebook Alex Stamos binnengehaald als consulent.

Wat moet je hier van vinden? Ten eerste iemand vanuit Facebook halen, maakt dit het voor mij al helemaal niet geloofwaardig om ooit maar zoom te gebruiken. Ten tweede, is dit niet gewoon damage control wat niet veel zin meer heeft of is er iemand die zoom ooit nog wilt gebruiken?

hrichard @dutchnltweaker • 8 april 2020 19:22

Je zou je verbazen hoeveel mensen het blijven gebruiken 'omdat het makkelijk is'. Zelf heb ik al allerlei artikelen aangedragen waaruit duidelijk blijkt dat je deze rommel niet moet willen gebruiken en dan krijg ik als antwoord: 'iemand van IT zegt dat grote bedrijven het gebruiken en die hebben daar echt wel goed onderzoek naar gedaan en het is nu veilig, want ze lossen de problemen steeds op en het is heel makkelijk en ik heb nu eenmaal een premium account afgesloten'.

Dus...

latka @hrichard • 8 april 2020 19:35

Zucht. Alle engineering is Chinees. In de USA zit alleen het verkoop kantoor. Niemand heeft ook maar 1 minuut naar zoom gekeken voordat er gekozen is. De enigste reden dat Zoom nu zo populair is, is omdat het te installeren is door de CEO van een bedrijf en daarmee is het de standaard in deze thuis-werk tijden.

mjz2cool @dutchnltweaker • 9 april 2020 08:10

Ze halen helemaal niemand binnen vanuit Facebook. Ze halen iemand binnen die bij Facebook weg is gegaan, en bovendien een zeer gerespecteerd persoon binnen de hele security community. Als Chief Security Officer moet je ook maar de mensen onder je kunnen vertrouwen dat ze alle informatie doorgeven. En uiteraard kun je fouten maken, maar als zo iemand dan al zo afgerekend moet worden, hoe ga je dan om met de rest van de personen in de security wereld?

Bas_je 8 april 2020 19:19

En zelfs bij het draaien van de uninstall probeert Zoom over poortje 80 (unencrypted http) met de servers van Zoom te communiceren...

jvdmeer 8 april 2020 19:44

En dan vandaag in het AD:
https://www.ad.nl/zoeterm...rares-in-tranen~accdc7d2/

Pornobeelden en racistische uitlatingen tijdens een digitale les. Dat is de nachtmerrie van elke docent. Het gebeurde vanochtend bij het Erasmus College uit Zoetermeer via video-app Zoom. De school is per direct gestopt met het gebruik van Zoom.

[Reactie gewijzigd door jvdmeer op 23 juli 2024 21:42]

dasiro @jvdmeer • 8 april 2020 20:12

volgens een externe privacyadviseur is geen enkel programma volledig veilig. Een link naar een online les kan ook per ongeluk doorgestuurd worden naar een ander en dan kan het verkeerd gaan.

kort door de bocht, maar als je niet eens een veilige inlogprocedure kan opzetten is zo'n statement natuurlijk nogal hol

FreshMaker @jvdmeer • 8 april 2020 21:14

PEBCAK .....

Het geheel opzetten ZONDER wachtwoord, en iedereen kunnen laten joinen is 'vragen' om problemen

"Zoom is gehacked" - Nee, het had allemaal wat 'beter' opgezet mogen worden, maar als je als call-organisator verzuimd een password in te stellen, ligt dat niet aan de app ...

https://krebsonsecurity.c...-zooms-password-problems/

[Reactie gewijzigd door FreshMaker op 23 juli 2024 21:42]

klakkie.57th @FreshMaker • 8 april 2020 22:24

Dat had per default zo moeten staan voor iedere gebruiker.

FreshMaker @klakkie.57th • 8 april 2020 22:44

Achteraf toepen is makkelijk.

Software wil vooral ontzorgen, en dit soort kleine dingen kunnen over het hoofd gezien worden.
Tot 4 weken geleden was Zoom amper bekend, niemand die het echt gebruikte.

Toen moest iedereen en zijn tante ineens thuis werken, en kwam de massa in actie.
Zoom steeg als een gek in de ratings, want eenvoudig en snel.
Dus daar kwamen ook de gebruikers mee, die gewoon 'aan de gang' wilden.

Maar ga niet een bedrijf beschuldigen dat ze gehacked zijn, als je zelf fouten maakt bij het gebruik.
Ze hebben fouten gemaakt, en in een paar weken tientallen bugs gevonden, en dingen over het hoofd gezien.
Het facebook-delen was ook zo'n ding, ze hadden zonder teveel onderzoek de 'inlog met FB' devkit gebruikt ... en die was iets te gretig met informatievergaring, deze hebben ze dus weer verwijderd

Zoom is een eendagsvlieg, ze hebben even naam en faam gemaakt, maar dit overleven ze niet ben ik bang

ehg 8 april 2020 19:10

Zojuist kwam ik dit tegen:
"Zoom is eigenlijk gewoon malware"
https://www.zerohedge.com...-make-simple-zoom-malware

Vlugge Japie @ehg • 8 april 2020 19:16

ZeroHedge is een anti-semitische haatsite, vol met fake news

latka @Vlugge Japie • 8 april 2020 19:36

Zelfde soort berichten staan op Hacker News. Ik heb dit artikel niet gelezen, maar als techies, investeerder en right-wing libertarians het ergens over eens zijn dan denk ik dat er wel een kern van waarheid inzitten.

Toevoeging: nu wel gelezen en het is een opsomming van alles wat er de afgelopen maand gerapporteerd is. Alles is 1-op-1 terug te vinden op allerlei andere bronnen. Ik zou het een handige samenvatting willen noemen.

[Reactie gewijzigd door latka op 23 juli 2024 21:42]

ehg @Vlugge Japie • 8 april 2020 19:20

Hoe kom je aan die wijsheid?

MoietyMe @ehg • 8 april 2020 19:26

Take your pick: https://duckduckgo.com/?q=zerohedge

Zelfs Wikipedia omschrijft ze als dat far right libertarians. Ik zou er uit de buurt blijven.

[Reactie gewijzigd door MoietyMe op 23 juli 2024 21:42]

ehg @MoietyMe • 8 april 2020 19:31

Wat is er mis met "right libertarians"?

FreshMaker @ehg • 8 april 2020 21:06

Wat is er mis met "right libertarians"?

Net zoveel als ultra links, of dead-center ...
Over elk clubje is wel wat te zeggen, als jij je er thuis voelt, prima toch

DvanRaai89 @MoietyMe • 8 april 2020 21:03

ZELFS wikipedia?

wbree 8 april 2020 19:13

Die bestaan voor het eind van het jaar niet meer.

N8w8 @wbree • 9 april 2020 10:16

Ik volg lessen van 2 clubjes, die "toevallig" allebei Zoom zijn gaan gebruiken voor online les.
Dat is dan alleen mijn ervaring, maar blijkbaar is het wel enorm populair bij niet-tweakers.
Zo leren allerlei mensen dat gebruiken, voor wie dat "de standaard" wordt, en die zullen dat dan blijven doen, ook in nieuwe situaties.
Ik bedoel kijk naar Facebook, daar blijven ook veel mensen op zitten, ondanks privacyschandalen, en ondanks wat die ene verdwaalde tweaker die ze wellicht kennen erover beweert.
Hopelijk als de pandemie voorbij is kan ik die shit weer van mn PC afknikkeren, maar ik neem aan dat veel andere mensen het laten staan zolang het "gewoon werkt".

F_J_K Forummoderator 8 april 2020 19:17

Dat er Facebook-mensen aan boord worden gehaald hoeft niet perse faudt te zijn. Weten wat niet de bedoeling is != dat ook niet doen. En veiligheid != privacy. Het is niet ondenkbaar dat de laag er boven het anders zag.

Maar: voor een boel geld alleen adviesraad met security leaders from across industries samenstellen is ook weer iets anders dan ook “op de developer werkvloer” de aandacht, kennis, kunde en tijd naar binnen halen. Ik zou graag lezen dat ook dat gebeurt.

latka @F_J_K • 8 april 2020 19:37

Dit deel van de organisatie zit in de USA. Alle R&D zit in China. Hoe groot is de kans dat dat goed gaat werken?

T!mothy 8 april 2020 19:42

Mijn vader werkt bij een landelijke instelling die intussen al is overgestapt, ik denk dat Zoom heel erg te laat is.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (48)

Sorteer op:

Weergave: