Zoom sluit overeenkomst met staat New York over beveiligingsbeleid

Zoom heeft afspraken gemaakt met de openbaar aanklager van de staat New York, waardoor onder meer het onderwijs de videobeldienst weer mag gebruiken. Er is onder meer afgesproken dat Zoom een hoofd beveiliging aanstelt die zorgt dat persoonsgegevens veilig blijven.

Op de website van de staat New York staat uitgelegd wat Zoom en de openbaar aanklager met elkaar hebben afgesproken. Zoom heeft beloofd dat het een uitgebreid pakket aan maatregelen treft om de beveiliging op te schroeven. Als onderdeel daarvan wordt een hoofd beveiliging aangesteld, dat onder andere een risicoanalyse moet doen om te bekijken waar de beveiliging kan worden verbeterd. Dat wordt dan onder andere gedaan met verbeterde encryptie, en daarnaast krijgen gebruikers meer privacyinstellingen.

Ook moet Zoom elk jaar een penetratietest doen om te bekijken hoe het met de beveiliging is gesteld. Er moet eveneens een mogelijkheid komen voor gebruikers om ongewenst gedrag te melden. Met deze beloftes mag Zoom in New York weer worden gebruikt in het onderwijs. Eerder verbood de staat dat, vanwege de beveiligingsbezwaren in de software.

Zoom is al weken in het nieuws vanwege problemen met de beveiliging. De videobeldienst werd kort na het uitbreken van de coronacrisis populair, en zag zijn gebruikersaantal snel stijgen. Onlangs werd bekend dat Zoom het bedrijf Keybase overneemt, waarmee het zijn beveiligingsfeatures wil verbeteren.

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 09-05-2020 09:18 38

09-05-2020 • 09:18

38

Lees meer

Zoom neemt ontwikkelaar callcentersoftware Five9 over voor 12,5 miljard euro
Zoom neemt ontwikkelaar callcentersoftware Five9 over voor 12,5 miljard euro Nieuws van 19 juli 2021
'Standaardwachtwoorden Zoom-meetings waren binnen enkele minuten te kraken'
'Standaardwachtwoorden Zoom-meetings waren binnen enkele minuten te kraken' Nieuws van 30 juli 2020
Zoom blokkeerde accounts van niet-Chinese activisten na verzoek Chinese overheid
Zoom blokkeerde accounts van niet-Chinese activisten na verzoek Chinese overheid Nieuws van 12 juni 2020
Zoom biedt eind-tot-eindversleuteling alleen aan betalende klanten aan
Zoom biedt eind-tot-eindversleuteling alleen aan betalende klanten aan Nieuws van 3 juni 2020
Betalende klanten Zoom kunnen in de toekomst sterkere encryptie krijgen
Betalende klanten Zoom kunnen in de toekomst sterkere encryptie krijgen Nieuws van 31 mei 2020
Zoom neemt cryptografieplatform Keybase over
Zoom neemt cryptografieplatform Keybase over Nieuws van 7 mei 2020
Zoom corrigeert cijfers over aantal gebruikers
Zoom corrigeert cijfers over aantal gebruikers Nieuws van 30 april 2020
Aantal gebruikers Zoom stijgt met 100 miljoen in drie weken
Aantal gebruikers Zoom stijgt met 100 miljoen in drie weken Nieuws van 23 april 2020
Meer producten en artikelen
Beveiliging en antivirus Zoom

Reacties (38)

-Moderatie-faq
38
37
30
2
0
4
Wijzig sortering
xmenno 9 mei 2020 11:19
Wat ik nog mis in dit verhaal, is dat bij sommige gesprekken de encryptie key uit China bleek te komen.
Je weet dan niet of er iemand in China mee kan kijken.
Het enige dat ik terug kon vinden is dit: "Zoom has agreed to enhance its encryption protocols by encrypting users’ information, both in transit and as stored online on their cloud servers."
Zolang die cloud servers niet in de EU zijn gebruik ik geen Zoom meer, en zolang het nog niet duidelijk is wie er bij die key's kan.


Even een refresh van wat nou het probleem was:
"The AES-128 keys, which we verified are sufficient to decrypt Zoom packets intercepted in Internet traffic, appear to be generated by Zoom servers, and in some cases, are delivered to participants in a Zoom meeting through servers in China, even when all meeting participants, and the Zoom subscriber’s company, are outside of China."

"While Zoom is headquartered in the United States, and listed on the NASDAQ, the mainline Zoom app appears to be developed by three companies in China, which all have the name 软视软件 (“Ruanshi Software”). Two of the three companies are owned by Zoom, whereas one is owned by an entity called 美国云视频软件技术有限公司 (“American Cloud Video Software Technology Co., Ltd.”)"
https://citizenlab.ca/202...tiality-of-zoom-meetings/

[Reactie gewijzigd door xmenno op 24 juli 2024 04:40]

Techno Overlord @xmenno9 mei 2020 19:30
Op mijn werk ben ik Zoom admin. Wij hebben met Zoom kunnen regelen dat wij alleen nog EU datacenters gebruiken in Frankfurt en Amsterdam. Dit geldt ook voor de account provisioning. "Nadeel" is dat wij geen Zoom phone en Cloud recordings kunnen gebruiken. Dat doen we toch niet en gaan we in de toekomst ook niet doen. Ik moet zeggen dat Zoom en onze contacten bij Zoom heel welwillend zijn en in de meewerkstand staan. Ik ben zeer tevreden over onze samenwerking.
magician2000 @Techno Overlord10 mei 2020 00:20
Maar hoe kun je, ondanks deze "spontane welwillendheid" dit bedrijf ooit nog vertrouwen?

Je legt een deel van je business in hun handen.

Ik zou dat toch niet meer willen. Evenals het gebruik van allerlei datagraaiende bedrijven en hun tools.
Cruise @magician200010 mei 2020 09:43
Hoe kun je ooit een bedrijf vertrouwen?

Microsoft heeft zich in het verleden ook niet altijd netjes gedragen en verkopen zelfs de vergaarde user data aan derden. Toch leggen dagelijks miljarden bedrijven een enorm deel van hun business in de handen van Microsoft.

In dat licht is het een enorm overdreven heksenjacht op zoom..
magician2000 @Cruise11 mei 2020 02:05
Hoe kun je ooit een bedrijf vertrouwen?

Microsoft heeft zich in het verleden ook niet altijd netjes gedragen en verkopen zelfs de vergaarde user data aan derden. Toch leggen dagelijks miljarden bedrijven een enorm deel van hun business in de handen van Microsoft.

In dat licht is het een enorm overdreven heksenjacht op zoom..
Je gaat dan wel even aan het verschil voorbij dat Microsoft met name gebruikt wordt voor het OS waarop alle andere software draait. Dit aangezien bij lange na (vanuit bedrijfsoogpunt althans voor vele bedrijven) de meeste programma's dit nodig hebben.

Zoom is enkel maar een stukje software welke ook nog eens niet noodzakelijk is en waarvoor alternatieven zijn.

Hoe kun je ooit een bedrijf vertrouwen? In mijn ogen is het niet mogelijk om zaken te doen met een bedrijf wanneer je in de beginfase geen vertrouwen hebt in betreffende bedrijf c.q. wanneer ze gaandeweg dingen doen waardoor je het vertrouwen verliest.
Techno Overlord @magician200010 mei 2020 11:00
Wij hebben Enterprise licenties en hebben daarnaast afspraken met Zoom vastgelegd zodat wij voldoen aan GDPR, DPa, verschillende ISO normeringen, speciale op ons bedrijf toegepaste verwerkersovereenkomsten enzovoorts.

Een custom pakket aan security maatregelen die normaal gezien niet mogelijk zijn maar wij hebben kunnen afdwingen. Want anders doen we geen zaken.

Volgens mij is Zoom momenteel een videodienst met de meeste functionaliteiten. Volgens mij is Zoom momenteel een van de veiligste videodiensten mits goed ingericht. Zoom heeft echt flinke stappen gezet om bepaalde security zaken op te lossen dan wel te introduceren vind ik.
kimborntobewild 9 mei 2020 09:23
Ook moet Zoom elk jaar een penetratietest doen om te bekijken hoe het met de beveiliging is gesteld.
Ik vind dat als software zoveel gebruikers heeft, dat één externe controle per jaar te weinig is.
Finally, Zoom was sharing users’ personal information with Facebook, including for those users who were not using the Facebook login feature and even those without Facebook accounts.
Je mag hopen dat Facebook daar vervolgd voor wordt.
Zoom will also conduct risk assessment and software code reviews to ensure that the company’s software does not have vulnerabilities that would allow hackers to exploit users’ information.
Helaas niks over het openbaar maken van de code. Dat is de veruit beste methode om je code te laten doorlichten: de code publiek maken. Desnoods de code (alleen) naar specialisten sturen zoals de CCC, als de overheid zo halsstarrig is (en dat is ze) dat de code niet publiek hoeft te worden.
In de praktijk zal het er vermoedelijk op neerkomen dat één duur externe bedrijf de code een keertje tegen het licht houdt, en dat dat bedrijf lang niet alle problemen zal kunnen vinden. Of zelfs niet zal willen vinden, omdat ze immers betaald worden door datzelfde bedrijf.

[Reactie gewijzigd door kimborntobewild op 24 juli 2024 04:40]

Zoijar @kimborntobewild9 mei 2020 09:28
Je mag hopen dat Facebook daar vervolgd voor wordt.
Ja net als de voorgaande dertig keer waarna ze beloven dit nu toch echt eerlijk waar noooooit meer te doen...
FreshMaker @Zoijar9 mei 2020 10:49
[...]

Ja net als de voorgaande dertig keer waarna ze beloven dit nu toch echt eerlijk waar noooooit meer te doen...
Of je implementeerde die makkelijke API's kosteloos, om een aantal dingen makkelijk te regelen
Advertentieinkomsten door tracking, evt inlog via FB en nog wat 'handige features' zonder als ontwikkelaar de TOS / EUL door te nemen.

Want dat was toch echt de fout die Zoom zelf maakte, vooruitzicht op cashen zonder teveel zelf te moeten 'programmeren'
supersnathan94 @FreshMaker9 mei 2020 13:02
Aan de andere kant is dat als beginnend bedrijf (wat zoom nu al lang niet meer is) wel een hele goede optie om veiligheid te kunnen garanderen. Van FB of Google mag ik iig aannemen dat password security vrij hoog is. Met privacy data is het een ander verhaal, maar qua password algoritmiek en storage hebben ze de boel gewoon op orde. Dan kan je wel zelf met bcrypt gaan lopen kijken en hoe je dat netjes in je frontend verwerkt, maar dat is ook vragen om problemen en mogelijk ontzettend duur om goed te implementeren.
FreshMaker @supersnathan949 mei 2020 13:13
Zoom is al langere tijd laks met hun programmeerkunsten.
Het is zo erg, dat Dropbox een paar jaar terug ZELF een team heeft opgezet om issues op te pakken, omdat Zoom dat niet aankon/deed
Dropbox gebruikte het programma intensief, en heeft er een belang in genomen, om meer invloed te kunnen uitoefenen op de processen.

Dus dat ze inderdaad NU nog steeds te kampen hebben met veel problemen, is tekenend voor het beleid wat ze voeren.

imho hebben ze het 'recht' op verdere support/begrip vanuit hun "fanbase" wel verloren.
Ze zijn vermogend genoeg om andere bedrijven over te nemen, mij lijkt het een cashrun, om zoveel mogelijk naam op te bouwen, en daarmee waarde om te kunnen uitcashen
supersnathan94 @FreshMaker9 mei 2020 14:41
Daarom gaf ik ook aan dat het als start-up een goed begin is. Kun je toch snel behoorlijk veilige login methodes aanbieden zonder dat mensen weeer een account moeten maken.

Zoom bestaat echter al een aantal jaar en dan moet je toch eens gaan kijken naar andere alternatieven tenzij het dus een veelgevraagde user request is. Dan moet je eerst eens gaan uitleggen waarom je het niet meer aanbied en als men dan toch zoiets heeft van ja care, dan pas kan je gaan kijken hoe je FB/google login dan goed kunt implementeren zonder spyware.
michielRB @FreshMaker10 mei 2020 11:12
Maar dat geldt voor zo'n beetje alle (Android) apps: door gebruik te maken van die oh zo makkelijke Google en Facebook SDK's wordt die profiling meuk standaard aan de app toegevoegd. Al je gegevens gaan rechtstreeks naar Google of Facebook (vaak beide).
Zo lang appbouwers dit blijven doen, zal er niets veranderen aan de huidige Surveillance Capitalism. (zie oa https://www.groene.nl/artikel/de-mens-als-grondstof)
Bensimpel @Zoijar9 mei 2020 09:41
Nouja vorige mega boete was 5 miljard. Misschien bij iedere overschrijding maar gaan verdubbelen? Mischien leren ze het dan wel eens..
robvanwijk @kimborntobewild9 mei 2020 10:01
Helaas niks over het openbaar maken van de code.
Dat zou net zoiets zijn als eisen dat je je wachtwoorden of je dagboek openbaar maakt. Die code zit vol gevoelige gegevens, het zou absurd zijn om te eisen dat die openbaar moet worden.
Desnoods de code (alleen) naar specialisten sturen zoals de CCC
Dat is bijna exact wat ze moeten doen, alleen kiezen ze niet voor de CCC maar een andere partij.
Of zelfs niet zal willen vinden, omdat ze immers betaald worden door datzelfde bedrijf.
Als dat zo zou zijn, waarom moeten beursgenoteerde bedrijven hun boekhouding dan laten onderzoeken door accountants die ze zelf betalen? Vergeet niet dat de reputatie van dat bedrijf op het spel staat; als zij hun stempel erop zetten "penetratietest uitgevoerd, alles akkoord" en later blijkt dat er nog heel eenvoudige exploits inzitten waar ze overheen gekeken hebben, dan lopen hun klanten natuurlijk massaal weg; waarom zou je betalen voor slecht werk?
supersnathan94 @robvanwijk9 mei 2020 13:24
Penetratietests beginnen vaak met de obvious dingen. Verder op in de pijplijn worden er steeds vagere trucjes uit de doos getrokken.

Er worden vaak echter ook assumpties gedaan adhv gebruikte technieken. Oh jullie gebruiken een database? Jullie zullen vast nog niet goed genoeg hebben nagedacht over SQL injection. Heb zelf ook wel eens zo’n rapport gehad. Toen heb ik ze toch moeten uitleggen dat dat onmogelijk was. Toen hun antwoord was, niets is onmogelijk, hebben we ze maar niet verteld dat als ze wel naar de code hadden gekeken ze erachter waren gekomen dat het een graph database was (Dus die snapt sql helemaal niet).

Uiteindelijk was er een random hacker/scripter/white-hat die een melding deed dat we wel vatbaar waren voor sparql injection. Had de pentest echter helemaal niet naar gekeken.

Tl:dr. Een pentest geeft geen garanties.
jongetje @kimborntobewild9 mei 2020 10:00
Ik vind dat als software zoveel gebruikers heeft, dat één externe controle per jaar te weinig is.
Tja, een test selecteren en (laten) uitvoeren duurt meestal wel een paar maanden incl. vastlegging. Dan moet je de uitkomsten omzetten in userstories/changes die moeten dan gepland worden, geprogrammeerd, getest. Daarnaast wil je ook niet alleen maar pentesten doen, dat heeft geen zin as je verder weinig nieuws hebt gemaakt in die tussentijd. Ik vind elk jaar een prima cycles voor een pentest. Daarnaast moet je ook je gewone (security) testen en awareness blijven doen na elke release.
kimborntobewild @jongetje19 mei 2020 19:44
Hoe groter het bedrijf, hoe groter de belangen, dus zie ik geen reden om niet méér tests dan slechts 1x per jaar te eisen. Een jaar is voldoende om 3 of 4x belangrijke code te veranderen. Dan is er tussen twee tests al meerdere keren code gebruikt die helemaal nooit getest is. Als een test maanden duurt, gaat er natuurlijk iets grondig verkeerd. Dat mag geen maanden duren. En ik zie ook geen enkele reden om niet een nieuwe test te starten terwijl er al eentje bezig is. Voor de echt grote bedrijven wil je in principe 'doorlopend' (hoe dat er ook precies uit zou moeten zien) testen, omdat de gevolgen voor lekken ook gigantisch groot zouden zijn.
En, stel, een bedrijf groeit opeens keihard (zoals hier): er komen miljoenen gebruikers bij in korte tijd. Het lijkt mij raadzaam om pas zoveel klanten aan te nemen, als dat overeenkomt met het aantal externe tests dat recent gepleegd is.
Ik blijf er i.i.g. bij dat slechts één keer per jaar testen bij grote bedrijven gewoon (veel) te weinig is.
Zer0 @kimborntobewild9 mei 2020 13:16
Je mag hopen dat Facebook daar vervolgd voor wordt.
Het lijkt me juist dat je Zoom daar voor vervolgt, zij waren degene die de data deelde met Facebook.
rvdlaar 9 mei 2020 10:49
Vraag mij af of je nu niet beter af bent bij Zoom, juist omdat ze zo onder een vergrootglas liggen.
Verder heeft het niet zoveel zin om steeds terug te blikken op zaken die inmiddels opgelost zijn. Vooral benieuwd hoe het gaat zodra die 90 dagen focus voorbij zijn en weer meer op nieuwe features gericht wordt.
NielsFL @rvdlaar9 mei 2020 10:59
De techniek is maar de helft van het verhaal. Dat het vanuit China gerunt wordt is voor velen ook een bezwaar. Voor scholen denk ik geen issue, maar voor bedrijven is spionage soms wel echt een risico.
rvdlaar @NielsFL1 juni 2020 15:44
Klopt dat wel wat je zegt, dat het 'gerund' wordt vanuit China?
Zoom heeft iets van 800 medewerkers daar die het product ontwikkelen, dat weet ik wel.
Volgens mij is het gewoon een Amerikaans bedrijf met het hoofdkantoor in de states.
Verder is een van de laatste security changes dat je het aantal datacenters kunt beperken (zo wordt het data verkeer dus niet gerouteerd via die datacenters).
Anoniem: 310408 9 mei 2020 16:43
Dus zoom had geen hoofd beveiliging? Dat lijkt of zeer onwaarschijnlijk.
dez11de @Anoniem: 3104089 mei 2020 22:13
Sinds begin april Alex Stamos.
lighting_ 9 mei 2020 09:44
Al die aandacht legt Zoom geen windeieren.
t link 9 mei 2020 10:18
Ik vind het mooi om te zien hoe snel zoom eigenlijk de zeilen heeft bijgezet na de gigantische kritiek die ze terecht kregen. ik vind het ergens jammer dat ze keybase.io overgekocht hebben omdat dat op zichzelf interresant was.
trab_78 9 mei 2020 11:55
Wat ik niet snap, is waarom deze afspraken alleen met Zoom gemaakt worden. Deze eisen zouden dan toch voor elke communicatie-dienst moeten gelden? Zoom heeft wel wat steken laten vallen in het verleden natuurlijk, maar is echt niet de enige communicatie-dienst met (security)bugs en wazige privacy-voorwaarden.

Neem bijvoorbeeld dat verhaal over het delen van data met Facebook. Dat is een direct gevolg van het gebruik van de Facebook API. M.a.w.: dat is vooral reden voor kritiek op de Facebook API. En de conclusie is dat iedereen (inclusief dus Zoom) met een grote boog om Facebook heen moet lopen. Maar dat wisten we al.

Maar goed. Ik denk dat Zoom door al deze aandacht nu of in de nabije toekomst de best beveiligde communicatie-dienst ter wereld is/wordt.
rvdlaar @trab_781 juni 2020 15:47
Zou inderdaad voor de beveiliging en privacy van eindgebruikers goed zijn als iedere communicatiedienst (dus ook Teams) zo nauwgezet onder de loep genomen wordt.
Cruise 10 mei 2020 09:55
Ik durf na het lezen van de enorm negatieve reacties wel te stellen dat niemand van die negatieve regeerders de settings van een van een betaalde zoom account heeft gezien.

Alle meetings zijn volledig dicht te timmeren en dat staat allemaal al grotendeels standaard aan. Alleen, als je wilt, kan je de meetings openbaar maken. En als je dat doet dan moet je ook niet zeiken als er mensen in komen die je niet in die meeting wilt hebben. Dan moet je doen wat al die andere interactieve sites doen. Modereren.
joelharkes 9 mei 2020 09:29
Inderdaad, ik werk bij startup die twee jaar oud is die software maakt voor grote bedrijven, we hebben al twee pen tests gehad. Heel normaal.

Het blijft lastig als startup wil je snel kunnen innoveren en is alle security maatregelen (die corporaties verwachten) soms echt een blok om je been. En voor goede pen tests wordt echt belachelijk veel geld gevraagd.
En automated pen tests slaan vaak weer op niks.

Overigens werkte ik bij een 12 jaar oud bedrijf ervoor en die had aan het eind net zijn eerst Len test gehad. Al maakte die wel on premise applicaties.

Vaak vragen corps ook dat je access control procedures uitvoert manueel voor alle gebruikers. Met AD cover je al heel wat maar hoe kun je zorgen dat medewerkers periodiek controles aflopen en afvinken, heeft azure hier ook tools voor of zijn hier handige tools voor?

[Reactie gewijzigd door joelharkes op 24 juli 2024 04:40]

Kriekel @joelharkes9 mei 2020 09:41
En automated pen tests slaan vaak weer op niks.
Dat klopt niet helemaal, het vangt veel laaghangend fruit af. Je moet alleen niet verwachten dat het voldoende is.
kimborntobewild @joelharkes9 mei 2020 09:43
Het blijft lastig als startup wil je snel kunnen innoveren en is alle security maatregelen (die corporaties verwachten) soms echt een blok om je been. En voor goede pen tests wordt echt belachelijk veel geld gevraagd.
Als een bedrijf dat zelf ook als een blok aan het been ziet, zitten ze in de verkeerde business.... En die hoge bedragen voor pen-tests lijken me te voorkomen door de code naar specialisten te sturen zoals de CCC; die zijn vast veel goedkoper, als ze al geld vragen.
marcmiddendorp 10 mei 2020 10:53
Zoom is zo lek als een mandje. Dat is wel bewezen. En dat gaven ze nog gegevens door ook. Echt bijzonder

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq