Horas despues investigadores de seguridad en Citizen Lab informó que algunas llamadas de Zoom se enrutaron a través de China, la plataforma de videoconferencia ha ofrecido una disculpa y una explicación parcial.
Recordar, Enfocar ha enfrentado un aluvión de titulares
Los últimos hallazgos llegaron hoy cuando los investigadores de Citizen Lab dijeron que algunas llamadas realizadas en América del Norte se enrutaron a través de China, al igual que las claves de cifrado utilizadas para proteger esas llamadas. Pero como se señaló esta semana, Zoom no está encriptado de extremo a extremo, a pesar de las afirmaciones anteriores de la empresa, lo que significa que Zoom controla las claves de cifrado y, por lo tanto, puede acceder al contenido de las llamadas de sus clientes. Zoom dijo en una publicación de blog anterior
Zoom ahora dice que durante sus esfuerzos por aumentar la capacidad de su servidor para acomodar la afluencia masiva de usuarios en las últimas semanas, "erróneamente" permitió que dos de sus centros de datos chinos aceptaran llamadas como respaldo en caso de congestión de la red.
Del CEO de Zoom, Eric Yuan:
Durante las operaciones normales, los clientes de Zoom intentan conectarse a una serie de centros de datos primarios en o cerca de la región de un usuario, y si esos intentos de conexión múltiple fallan debido a la congestión de la red u otros problemas, los clientes llegarán a dos centros de datos secundarios de una lista de varios centros de datos secundarios como un posible puente de respaldo a la plataforma Zoom. En todos los casos, los clientes de Zoom reciben una lista de centros de datos apropiados para su región. Este sistema es crítico para la confiabilidad de la marca registrada de Zoom, particularmente durante tiempos de estrés masivo en Internet "
En otras palabras, se supone que las llamadas de América del Norte deben permanecer en América del Norte, al igual que las llamadas europeas deben permanecer en Europa. Esto es lo que Zoom llama a su centro de datos "geofencing". Pero cuando los picos de tráfico, la red cambia el tráfico al centro de datos más cercano con la mayor capacidad disponible.
Sin embargo, se supone que China es una excepción, en gran parte debido a las preocupaciones de privacidad entre las empresas occidentales. Pero las propias leyes y regulaciones de China exigen que las compañías que operan en el continente deben mantener los datos de los ciudadanos dentro de sus fronteras.
Zoom dijo en febrero que "la capacidad rápidamente agregada" a sus regiones chinas para manejar la demanda también se incluyó en una lista blanca internacional de centros de datos de respaldo, lo que significaba que los usuarios no chinos estaban conectados en algunos casos a servidores chinos cuando los centros de datos en otras regiones estaban indisponible.
Zoom dijo que esto sucedió en "circunstancias extremadamente limitadas". Cuando se llegó, un portavoz de Zoom no cuantificó el número de usuarios afectados.
Zoom dijo que ahora ha revertido esa lista blanca incorrecta. La compañía también dijo que los usuarios en el plan gubernamental dedicado de la compañía no se vieron afectados por el cambio de ruta accidental.
Pero quedan algunas preguntas. La publicación del blog solo aborda brevemente su diseño de cifrado. Citizen Lab criticó a la compañía por "encriptar su propio" cifrado, también conocido como construir su propio esquema de cifrado. Los expertos han rechazado durante mucho tiempo los esfuerzos de las empresas para construir su propio cifrado, porque no se somete al mismo escrutinio y revisión por pares que los estándares de cifrado de décadas que todos usamos hoy en día.
Zoom dijo en su defensa que puede "mejorar" en su esquema de encriptación, que según dice cubre una "amplia gama de casos de uso". Zoom también dijo que estaba consultando con expertos externos, pero cuando se le preguntó, un portavoz se negó a nombrar a ninguno.
Bill Marczak, uno de los investigadores del Citizen Lab que escribió el informe de hoy, dijo a TechCrunch que era "cautelosamente optimista" sobre la respuesta de Zoom.
"El mayor problema aquí es que Zoom aparentemente ha escrito su propio esquema para encriptar y asegurar llamadas", dijo, y que "hay servidores de Zoom en Beijing que tienen acceso a las claves de encriptación de la reunión".
"Si usted es una entidad con recursos suficientes, obtener una copia del tráfico de Internet que contiene alguna llamada Zoom cifrada de alto valor tal vez no sea tan difícil", dijo Marcak.
"El gran cambio a plataformas como Zoom durante la pandemia COVID-19 hace que plataformas como Zoom sean objetivos atractivos para muchos tipos diferentes de agencias de inteligencia, no solo para China", dijo. "Afortunadamente, la compañía (hasta ahora) ha tocado todas las notas correctas al responder a esta nueva ola de escrutinio de los investigadores de seguridad, y se ha comprometido a realizar mejoras en su aplicación".
La publicación de blog de Zoom obtiene puntos por transparencia. Pero la compañía aún enfrenta presiones de Fiscal general de Nueva York y de dos demandas colectivas. Sólo hoy, varios legisladores exigieron saber qué está haciendo para proteger la privacidad de los usuarios.
Will Zoom's mea culpas ¿bastar?
