Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Zoom wil schikken voor 85 miljoen dollar in rechtszaak met gebruikers

Zoom wil schikken voor 85 miljoen dollar in een rechtszaak in de Verenigde Staten. De collectieve rechtszaak werd aangespannen, omdat Zoom beweerde videogesprekken eind-tot-eind te versleutelen terwijl dat niet gebeurde.

In de collectieve rechtszaak tegen Zoom eisten gebruikers een vergoeding voor het feit dat het bedrijf loog over het bieden van eind-tot-eind-encryptie, het doorspelen van data naar Facebook en Google zonder toestemming en de beveiligingsproblemen waardoor mensen konden inbreken in Zoom-meetings. Zoom heeft een voorstel om te schikken ingediend bij de rechtbank.

Tegenover Ars Technica geeft Zoom in een verklaring niet toe dat het bedrijf fout zat door te liegen over de eind-tot-eind-encryptie. Zoom laat alleen weten dat "de beveiliging en privacy van zijn gebruikers nog altijd de hoogste prioriteit heeft".

Volgens de aanklagers versleutelde Zoom de videogesprekken wel, maar ging het niet om eind-tot-eind-encryptie. De sleutels werden gegenereerd door de servers van Zoom en niet op het apparaat van de gebruiker. Daarom mag Zoom niet spreken van eind-tot-eind-encryptie volgens de aanklagers.

Als de schikking wordt geaccepteerd kunnen Zoom-gebruikers in de Verenigde Staten aanspraak maken op de schadevergoeding. Zowel betalende gebruikers als gratis gebruikers kunnen een vergoeding ontvangen. Gratis gebruikers in de VS die Zoom tussen 30 maart 2016 en 30 juli 2021 hebben gebruikt, kunnen tot 15 dollar krijgen. Betalende gebruikers kunnen 15 procent terugkrijgen van het geld dat ze aan Zoom-abonnementen spendeerden in deze periode.

Sinds eind vorig jaar biedt Zoom wel eind-tot-eind-encryptie aan. In eerste instantie kregen alleen betalende klanten toegang tot eind-tot-eind-encryptie van gesprekken. Na veel kritiek besloot Zoom om zowel betalende als gratis gebruikers van de dienst toegang te geven tot het eind-tot-eind-versleutelen van hun videogesprekken.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Robert Zomers

Nieuwsposter

03-08-2021 • 17:47

42 Linkedin

Submitter: JapyDooge

Reacties (42)

Wijzig sortering
kunnen tot 15 dollar krijgen
Is dat dan de prijs van je privacy?
Bij de staatsloterij ongeveer hetzelfde nadat ze jaren de feiten hadden verdraaid.
Een “gratis” extra trekking.

https://www.rtlnieuws.nl/...wel-de-staatsloterij-zelf
Het is een schikkingsvoorstel. Niks staat je in de weg om hier niet aan mee te doen en Zoom individueel aan te klagen. Als jij kan aantonen hoeveel financiele schade jij geleden hebt doordat Zoom tijdelijk geen E2E encryptie had, dan maak je een kans. Dat heeft natuurlijk niks met de prijs van je privacy te maken.
Ja je hebt gelijk, ik had het anders moeten verwoorden. Blijkbaar vindt zoom dat je privacy 15 dollar waard is, anders doen ze dit schikkingsvoorstel niet. Een schade vergoeding zegt niks over de waarde van je privacy, een schikkingsvoorstel zegt daar wel wat over.
Het is ze 85 miljoen waard deze rechtzaak niet te hoeven voeren. Veel meer dan dat valt er niet in te lezen. Misschien is het ze ook wel meer waard, maar dat is afwachten hoe die onderhandelingen gaan.

[Reactie gewijzigd door kftnl op 3 augustus 2021 18:20]

Je ziet dat toch verkeerd. Je kunt namelijk niet "privacy" gelijk stellen aan dit bedrag. Het is puur om een hele rechtzaak te voorkomen. Dit geld kan dus ook naar personen gaan die Zoom misschien 1 keer gebruikt hebben en helemaal geen behoefte hadden aan E2E encryptie. Daarnaast lijkt het me sterk dat, daardat E2E encryptie niet beschikbaar was, er echt veel schade geleden is. Dat kan, als blijkt dat daardoor jou berichten afgetapt zijn. Of als jij geld, op wat voor manier dan ook, schade hebt geleden daardoor jij dacht dat E2E encryptie beschikbaar was. Maar hoe groot acht jij die kans?
In dit geval is het schikkingsvoorstel bij de rechtbank neergelegd. Je kan je dan zeker niet meer terugtrekken uit een gezamenlijk proces.
Wanneer een schikkingsvoorstel aan een partij gedaan wordt die de belangen van de klagers behartigd, kan je je ook lang niet altijd terugtrekken om vervolgens zelf of met een kleinere groep het proces voort te zetten. Of dat kan hangt af van de voorwaarden in het contract met de belangenbehartiger, of de manier waarop de zaak bij de rechter is ingediend. Alleen als een klacht op ieders naam bij de rechtbank is ingediend (alle namen staan op het proces-verbaal) kan elke eiser zich individueel terugtrekken. In Amerika gelden dezelfde regels.
Je maakt overigens nauwelijks kans op een vergoeding als je zelf verder gaat procederen. Je moet dan echt aan kunnen tonen dat je meer schade hebt ondervonden.
Ik heb daar verder geen kennis van, maar dat is toch inherent aan het meedoen met een class-action? Die keuze heb je gemaakt en zul je het mee moeten doen. Want als je daadwerkelijk bewijs had dat je schade hebt geleden dan doe je niet mee aan een class-action als deze, maar zet je er zelf een advocaat op.
Dat was dan ook mijn hele punt, de kans dat iemand aantoonbaar kan maken dat er schade is geleden (of dat er uberhaupt schade is geleden) is zeer klein.
Niet helemaal waar. De AVG eist geen financiële schade: het schadebegrip dient breed uitgelegd te worden. Desalniettemin is ook materiële schade natuurlijk moeilijk hard te maken, en ook de praktijk wijst uit dat rechters het ook maar moeilijk vinden. Meer dan 500EU wordt er zelden uitgekeerd.
15 dollar is al erg veel voor een dergelijke zaak, meestal krijgt het vertegenwoordigende advocatenkantoor miljoenen en de mensen die daadwerkelijk recht op geld hebben 1 of 2 dollar
Dat is uiteraard waar, maar niet de hele waarheid. Meestal is het zo dat de advocaten x procent pakken en verdelen onder de deelnemende advocatenfirma(s) en de rest verdelen onder de tien/honderdduizenden gedupeerden.

Dus een schikking van 85 miljoen, waar er bvb 25 miljoen (ongeveer 30%) naar de advocaten gaat en naar schatting 4 miljoen rechthebbenden 15 dollar krijgen.

Dat is heel simpel, want betalende gebruikers krijgen meer, dus die 4 miljoen zullen minder mensen zijn bvb - veelal ook bedrijven die klant zijn dus dan zien de mensen die het gebruikten voor werk al helemaal niks.
Ik betwijfel of er een echte gedupeerde is in deze zaak ...
Hoeveel is de privacy dan geschonden? Hoeveel schade hebben Zoom gebruikers geleden?
lijkt me niet meer dan terecht dat je vrijwel het volledige abonnementsgeld terugkrijgt. Zoom biedt een product aan en adverteert met de functies en specificaties. Deze geadverteerde functies zijn simpelweg niet waar. Daarbovenop kan het missen van E2E-encryption de gebruikers in groot gevaar brengen.

als een autofabrikant bewust geen airbags installeert om geld te besparen, is een volledige refund het minste wat je krijgt.
lijkt me niet meer dan terecht dat je vrijwel het volledige abonnementsgeld terugkrijgt.
Een gebruiker zou dan diens abonnement gestopt moeten hebben toen hen bekend was dat er geen end-to-end encryptie werd gebruikt, en enkel een vergoeding krijgen voor de tijd dat het abonnement liep. Of de vergoeding zou dan alleen gelden voor de periode dat er geen end-to-end encryptie was totdat het probleem was opgelost.

[Reactie gewijzigd door The Zep Man op 3 augustus 2021 18:08]

Wat is daar redelijk of billijk aan dat als een verkoper onder twijfelachtige voorwendselen van de klant geld afhandig maakt je als slachtoffer dan maar moeite moet hebben gedaan om geen klant meer te zijn voor je een schadevergoeding krijgt? Er is namelijk niet duidelijk wanneer een slachtoffer hier dan bewust van moest zijn. Ik lees niet dat het bedrijf zelf met de slachtoffers contact heeft opgenomen om duidelijk te maken dat ze onjuist ingelicht zijn om ze over te halen.
Aan de andere kant hebben klanten perfect gebruik kunnen maken van Zoom. Het ontbreken van E2E encryptie is geen functioneel onderdeel, het is een (zeer belangrijk, dat wel) beveiligingsonderdeel.
Het zou logisch zijn het volledige bedrag terug te storten als blijkt dat men geen gebruik kon/wilde maken van het product omdat E2E encryptie ontbrak. Die vlieger lijkt me niet meer opgaan op het moment dat je er evengoed mee door gegaan bent. Je hebt dan waarschijnlijk immers geen schade geleden.
De onduidelijkheid wie er toegang tot de communicatie van slachtoffers had is geen perfect gebruik kunnen maken. De wetgever stelt bijvoorbeeld niet voor niets verplicht dat je kan aantonen wie er toegang tot persoonsgegevens had. In communicatie stemgeluid, beeld van personen, namen enz communiceren is dus onacceptabel risico. Daarbij is niet kunnen aantonen dat het wel goed is gegaan met dat soort gegevens geen verzachtende omstandigheid, het is eerder verzwarend gebrek. Dat er gebruik van kon worden gemaakt is dus geen redelijk argument.
Hoe is het een probleem als ik persoonlijk gebruik maak van Zoom zonder E2E encryptie? Niet zo heel lang geleden leefden we zonder problemen in een tijd dat E2E encryptie verre van gemeengoed was. Sterker nog, ik kan het nu zelfs bewust uitzetten. Toen was in theorie ook onduidelijk wie er toegang hadden, is dat dan in die korte periode ineens wettelijk gezien veranderd?
Dit gaat niet slechts of jij het een probleem zou vinden, maar of het voor anderen een probleem is. Heel veel anderen. En in dit geval waarschijnlijk vooral dat bedrijven de zorg hebben om personeel, klanten, leveranciers en gegevens over hun goed te beschermen. Het was al jaren onvoldoende om geen encryptie te gebruiken, dat is het de afgelopen jaren nog meer sinds de wet aangescherpt is dat je vooraf duidelijk moet maken dat je voldoende aan beschermen doet.
Het ging niet zozeer om mij persoonlijk, maar om duidelijk te maken dat de wetgever het niet per definitie vereist. Dat is erg afhankelijk van de data waarmee je werkt.
Maar mijn punt ging eigenlijk over het feit dat er ten tijde van het ontbreken van E2E encryptie eigenlijk 2 smaken gebruikers zijn. Zij die daardoor gestopt zijn met het gebruik van Zoom en zij die doorgegaan zijn (al dan niet wetende van het gebrek). Die eerste groep heeft mogelijk aantoonbare financiele schade geleden. Voor de groep gebruikers die er wel gebruik van hebben gemaakt valt dat sterk te betwijfelen. Want, nogmaals, functioneel is het product niet veranderd. Pas als men, door het ontbreken van E2E encryptie, data gelekt heeft of wanneer werkzaamheden/data ongeldig verklaard zijn geraakt vanwege regelgeving kun je spreken over financiele schade.

Het is op zich niet veel anders dan wanneer ik een auto koop met airbags en die blijken achteraf niet (goed) te werken. Zolang ik niet bij een ongeluk betrokken raak waarbij de airbags behoren in te schakelen en ik daardoor gewond raak heb ik geen schade geleden, er vanuit gaande dat de fabrikant dit oplost (terugroepacties zijn een bekend voorbeeld).
Ik probeer hier Zoom niet te verdedigen voor hun acties, want dat was ronduit schandalig, maar vergoeding van schade die er niet is, is wel een ander verhaal.
Pas als men, door het ontbreken van E2E encryptie, data gelekt heeft of wanneer werkzaamheden/data ongeldig verklaard zijn geraakt vanwege regelgeving kun je spreken over financiele schade.
Dat is niet waar het schikken om gaat. Het schikken gaat onder andere om het misleid lijken te zijn dat er voldoende beveiliging was en het bedrijf daarmee binnen haalde en er aan verdiende. Terwijl het risico voor de klanten is terwijl die vaak wettelijk aan zeer strenge wetgeving moeten voldoen om belangrijke bescherming te leveren aan personeel, klanten, leveranciers en de gegevens van anderen.
Dat er wij geen financiele schade kunnen aantonen wil niet zeggen dat die er niet is. Om even een voorbeeld te noemen: er staan forse boetes op als je als bedrijf persoonsgegevens onvoldoende beschermt. Onderdeel van die bescherming is dat je vooraf moet aantonen te beschermen, die bescherming bleek hier waardeloos omdat ze geen controle hadden en nog steeds niet weten wie er nu precies bij die gegevens kon of zelfs bij is geweest. En dat is wettelijk al veel te ver gegaan.

Het voorbeeld van die auto is niet relevant. We hebben het hier over een situatie dat veel van die betalende bedrijven wettelijk verantwoordelijkheden hebben die niet slechts zijn uit te drukken in een percentage van het gebruik. Het is een bijna continue situatie waarbij niet de beveiliging is geleverd die vereist is en heel veel personen verder van afhankelijk zijn geweest. Door dat te vertalen naar slechts een percentage van het gebruik zegt men eerder dat het gebruik belangrijker is dan de inhoud, en dat is verre van redelijk. Er is hier een zeer groot vertrouwen geschonden waarbij de risico's met deze schikking afgekocht zouden moeten worden. Als Zoom zo zeker is dat er nauwelijks is mis gegaan dan betalen ze de bedragen geheel terug wegens grove misleiding, compenseren ze daarbovenop het risico dat ze hun klanten en personeel,cliënten,leveranciers en iedereen die daarbij betrokken is tot blijkt dat het wel mee viel.
Apart, jij bent dus van mening dat zij alles maar moeten compenseren totdat het tegendeel bewezen is, terwijl de kans dat er hieruit iets fraudelents voorgekomen is zeer klein is. Dat terwijl je ook de settlement offer kunt uitleggen als "wij hebben iets fout gedaan, daar is uiteindelijk weinig schade uit voort gekomen, accepteer dit en we zijn er vanaf". Want nogmaals, de instanties die daadwerkelijk schade hebben geleden doen niet mee aan een dergelijke class-action, die voeren hun eigen rechtzaak wel of hebben inmiddels al lang een schikking getroffen met Zoom.

Degene die aan deze class-action meedoen zijn de alledaagse gebruikers die geen heil zien in een rechtzaak.
Ik lees niemand aantonen dat kans op uitkomen van risico klein genoeg is. Wel zie ik in de vele voorbeelden dat gepaste beveiliging en vooraf controle en inzicht niet zomaar wettelijk verplicht is geworden. Het is dus niet redelijk om uit te gaan dat het prima is dat een bedrijf aan risico voor anderen miljoenen verdient door ze onder valse voorwendselen hun product te verkopen en dan ook nog fors te belonen dat ze ook iets goed gedaan hebben. Men hoort te verdienen aan eerlijke handel, niet aan valse handel.
Ik ben het er niet mee eens dat E2E encryptie niet als functie gezien kan worden. Er wordt namelijk niet alleen toegezegd dat Zoom een bepaald niveau van veiligheid biedt, er wordt een specifieke eigenschap van de beveiliging genoemd. deze eigenschap is een cruciaal onderdeel van de dienst die aangeboden wordt.

daarnaast is het bijzonder ernstig dat dit bewust gedaan is. een "fout" van deze grootte kan geen fout zijn, dit kan alleen bewust gedaan zijn. dan komt het er op neer dat dit simpelweg oplichting is. het is nog eens erger want door dit gat in de beveiliging Zoom zelf toegang heeft verkregen tot de gesprekken van gebruikers, er is dus kans dat er een ander motief achter zit dan alleen financieel.
Omdat het gehele contract dat je met de dienstverlener hebt vernietigbaar wordt bij een dergelijke schending van de contract voorwaarden. Met het USA recht in zicht kiest Zoom eieren voor hun geld en neemt de consequenties voor lief zonder het juridische proces en bijbehorende kosten en PR. In plaats van vernietigde contracten hebben ze nu enkel de financiële consequentie. Los van wat we zelf redelijk mogen vinden, bij contractbreuk voor een USP kan vaak zeker het gehele contract worden vernietigd; wat dan altijd het volledige abonnementsgeld is
Lijkt me ook niet meer dan terecht dat dit geldt voor gebruikers wereldwijd en niet alleen in US.
Maar het zal wel net zo gaan als met het Dieselsjoemelschandaal, VW-eigenaren in US kregen duizenden $ en de auto werd teruggekocht, in bv. NL krijgt VW geen boete en de klant al helemaal niets.
$85 miljoen is iets meer dan 3% van hun omzet over het fiscale jaar 2021 ($2.7 miljard)... Of bijna 13% van de winst uit datzelfde fiscale jaar ($660 miljoen).

Dat doet toch gewoon geen pijn op die manier! Maar het is dan ook hun eigen voorstel...
Dus jij vindt het niets voorstellen als iemandet een modaal inkomen even 1000 euro boete moet betalen? Dat is ook 3%.
Als iemand dat modaal inkomen heeft verkregen door te zeggen dat hij xyz kan en blijkt dat deze dat helemaal niet kan. Dan dat hele modale inkomen terug en een vergoeding bovenop. Naast een boete voor oplichting.
13% van je winst is volgens mij behoorlijk pijnlijk. Daar zal geen stakeholder blij mee zijn.
Niet als een essentieel deel van wat je aanbied niet werkt zoals je heb geadverteerd. Stel je voor dat een medische fabrikant dat zou doen, wanneer pijnmedicatie suikerpillen blijken te zijn...
Het essentiele wat ze aanbieden is large scale groepsvideocommunicatie en dat heeft prima gewerkt.
De end2end encryptie is slechts voor een deel van de gebruikers een essentiele component.
Desalniettemin is het laakbaar dat de geadverteerde 'end2end encryptie' van die communicatie niet aanwezig was (het was slechts point-to-server-to-point encryptie), maar het is ver verwijderd van je tegenvoorbeeld uit een andere branch. Er was wel encryptie aanwezig, maar die was niet end2end.
Nee, het essentiele wat ze aanbieden is large scale groepsvideocommunicatie die E2E encrypted is. Die twee kan je niet los zien van elkaar (tenzij je een spindoctor bent of in de marketing werkt).
Die twee zijn prima los te zien. Als je Zoom vertrouwt is endpoint2server2endpoint encryptie (wat Zoom had) voldoende om je communicatie af te sluiten van 'de rest van internet'. Als je Zoom niet vertrouwt qua privacybeleid is end2end encryptie de enige bruikbare optie (maar kun je je afvragen waarom je überhaupt met ze in zee wilt gaan, want waarom zou je ze voor het overige wel vertrouwen).
Er zijn (gratis) alternatieven die ook large scale aanbieden en ook die e2e aanbieden.
En we hebben gewoon vorig jaar gezien dat dat large scale communicatie gewoon ook niet veilig was ingericht/geïmplementeerd.
Uiteraard waren er ook nog andere problemen bij Zoom, echter in deze discussie gaat het over hun encryptiemethodiek. En dat er anderen zijn die wel echt end2end bieden, betekent nog niet dat end2end de primaire essentiele functie is die bij afwezigheid hun videoconferencing volstrekt onbruikbaar maakt.
Geld is niet het enige. Imagoschade bestaat ook nog
Voor 85 miljoen was de eind tot eind encryptie wel geregeld geweest. Dure les voor Zoom.
Waarschijnlijke was er wel E2EE, maar het ene eind is de gebruiker en het andere "eind" is een server van Zoom.

Maar kom op jongens, zelfs met propere E2EE heeft de vendor toegang tot de sleutels om te decrypten (of kan daar toegang toe krijgen), simpelweg doordat de gebruikte protocollen proprietair en gesloten zijn, de applicaties closed-source zijn, en de servers een black box zijn.
Ik vraag mij eigenlijk af wat zoom heeft verdiend door het bewust niet E2E encrypten.
Mogelijk dat dit vanuit hogere hand zo ingeregeld moest worden en heeft zoom ieder meeting in principe in kunnen zien. De dev's zitten namelijk grotendeels in China.
Ik denk niets. Als de devs het hebben moeten doen van de Chinese overheid is dat gewoon afgedwongen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True