Søg
  • Kristian Krohn Djurhuus

Lytter de med i Beijing? Zooms mørke side

Lytter Xi med? Onlinevideomødetjenesten Zoom, der på et par uger er blevet alles darling, får massiv kritik. Sikkerheden er ikke i orden, og der sættes spørgsmålstegn ved platformens indirekte relationer til det kinesiske statsapparat. Skal vi stoppe med at bruge Zoom?


Oprindelig bragt i kommunikationsforum mandag d. 6/4 2020





Hallo Kina, kan I høre mig? Hvem lytter med på Zoom?


Jeg sad for nylig på et videoopkald til en fredagsbar med vennerne. Vi brugte ikke Zoom, og første spørgsmål var: “Hvorfor bruger vi ikke Zoom, der kan vi alle sammen se hinanden?” Jeg kunne konstatere, at selv midaldrende danske mænd på få uger er blevet Zoomers.

Men onlinevideomødetjenesten Zoom, der på et par uger er blevet alles darling, får nu massiv kritik. Sikkerheden er ikke i orden, lyder det. Derudover er der blevet sat spørgsmålstegn ved Zooms indirekte relationer til det kinesiske statsapparat.

Nu er vi kommet over den første bølge af kaos. Processen med at finde ud af, hvordan vi kan koordinere opgaveløsning og samarbejde over afstande er sat i gang. Det er derfor vigtigere end nogensinde at kaste et blik på de værktøjer, vi bruger i vores digitale samarbejde.

Det er nemt at bruge Zoom, der er ingen barrierer, møderne er stabile, og teknologien er gratis. Zoom er eksploderet under COVID-19-krisen med hjemmearbejde og exceptionel efterspørgsel på onlinemøder. Med andre ord et “mission critical”-værktøj for driften og håndteringen af samarbejdet i mange organisationer verden over.

Zoom er elsket af alle, såvel investorer som tech-analytikere og brugere, men er nu gået fra at ride på en bølge af succes til at få en slagside af kritiske røster fra alskens kanter.

Den store opmærksomhed på og granskning af Zooms tekniske formåen har åbnet et skab af skeletter, der nu vælter ud. Seriøse udfordringer med håndteringen af sikkerhed og persondata plager nu onlinemødeplatformen.

Sikkerhedsanalytikere finder nye kritiske fejl – FBI advarer!

Nye afsløringer viser, at Zoom på både deres hjemmeside og i deres Security Whitepaper fejlagtigt har oplyst brugerne om, at de anvendte end-to-end-kryptering – hvilket vil sige, at kommunikationen er krypteret fra slutbruger til slutbruger.

Ifølge The Intercept er der ikke tale om end-to-end-kryptering, men snarere om en transportkryptering af data, der sendes mellem brugerne og Zooms servere. Det betyder, at Zoom har adgang til brugernes data, møder, lyd, video og noter, så snart de ankommer til serveren.

Platformen udtaler dog, at de ikke har til hensigt at høste eller sælge brugernes data. I en blogpost fra i torsdags går de skridtet videre og beklager den fejlagtige brug af termen “end-to-end encryption”.

Zoom er også blevet kritiseret for standardindstillingerne, der blandt andet har medført fænomenet Zoom-bombing, hvor trolls kan få adgang til åbne møder og dele grænseoverskridende indhold, herunder pornografiske videoer. Skoleelever er blevet Zoom-bombed, hvilket har fået den bredeste dækning i mainstreammedierne.

FBI har sågar den 30. marts advaret skoler om faren ved Zooms indstillinger på baggrund af disse hændelser. Dette har blandt andet ført til, at New York City har forbudt byens skoler at anvende Zoom til undervisningen, og de migrerer i stedet til Microsoft Teams.

Det er dog ikke alle Zooms udfordringer, der har fået lige meget opmærksomhed. Forskellige sikkerhedsanalytikere, herunder den tidligere NSA-hacker Patrick Wardle, gjorde sidste uge opmærksom på smuthuller, der gjorde det muligt for ondsindede hackere at stjæle brugernes Windows-koder, overtage brugerens Mac samt tage styringen over deres video og mikrofon.

Patrick Wardle fraråder alle, der går op i deres egen data og privatliv, at bruge tjenesten.

Den 4. april kom seneste opsigtsvækkende nyhed fra Citizen Lab (University of Toronto), der kunne påvise, at Zoom-data i nogle tilfælde blev kørt gennem servere i Kina – det skete, selvom mødedeltagerne og deres firmaer var uden for Kina. Denne hændelse blev undskyldt og italesat som en fejl i forbindelse med at forsøge at håndtere den voldsomt store mængde data.

Den 1. april delte Zoom nedenstående blogpost. Heri fremgår det, at de har håndteret følgende punkter:

  • On April 1, we:

  • Published a blog to clarify the facts around encryption on our platform – acknowledging and apologizing for the confusion.

  • Permanently removed the attendee attention tracker feature. (updated 4/2 to clarify that it’s permanently removed)

  • Released fixes for both Mac-related issues raised by Patrick Wardle.

  • Released a fix for the UNC link issue.

  • Permanently removed the LinkedIn Sales Navigator app after identifying unnecessary data disclosure by the feature. (updated 4/2 to clarify that it’s permanently removed)


Er problemerne større end de enkelte fejl? Er Kina med på kaldet?

Strategien fra Zoom har i de flest tilfælde været at undskylde og udbedre fejlene, hvor de har været i stand til det. Det er nemlig ikke første gang, at Zoom kritiseres for deres praksis omkring sikkerhed og persondatahåndtering.

  • I 2019 måtte Apple træde til og fjerne Zoom-software fra millioner af Macs, efter det blev afsløret, at Zoom havde installeret en hemmelig webserver på brugernes Mac, som Zoom ikke lykkedes med at fjerne, når brugerne afinstallerede Zoom.

  • Zoom blev afsløret i, i al hemmelighed, at sende oplysninger om brugerne til Facebook – selv når en bruger ikke havde en Facebook-konto.

  • Zoom fik kritik for deres “deltager-tracking”, som gjorde det muligt for mødearrangøren at se, hvem af deltagerne der klikkede væk fra Zoom-vinduet under mødet.

  • Sikkerhedsanalytikere afslørede, at Zoom brugte en hackerlignende teknik til at installere deres Mac-app uden brugernes interaktion. “Samme tricks, som bliver brugt af macOS malware,” sagde analytikerne.

Det virker næsten, som om Zoom arbejder ud fra devisen: “Går den, så går den.” Som Mark Turpin, en deltager i debatten på TechCrunch siger: “... these issues aren’t about throwing stones regarding reliability. This is about product direction and company mindset”.

David Heinemeier Hansson, den danske udvikler af Ruby on Rails, tager den skridtet videre i en Twitter-post fra 31. marts: “They have good fundamental tech! But as the skeletons keep falling out of the closet, it’s clear that the organisation is fundamentally corrupt.”

Diskussionerne på nettet går nu på, om disse sikkerhedsproblemer er utilsigtede fejl – opstået i al hast – hos “den lille startup”, eller om det er tegn på en syg virksomhedskultur i et verdensomspændende selskab med forbindelser ind i KKP – Kinas Kommunistiske Parti? 

Om alle disse spekulationer har noget på sig, er svært at konkludere på, men konsekvenserne er nu begyndt at vise sig. Rigsadvokaten i New York har sendt et officielt brev til Zoom med spørgsmål til sikkerheds- og persondatahåndteringen, og hvilke forholdsregler de tager for at imødekomme den øgede trafik og for at identificere hackere. Det samme har en række kongresmedlemmer i USA.

Det engelske forsvarsministerium har på baggrund af de seneste hændelser frarådet brugen af Zoom, og Columbia Journalism Review fraråder direkte journalister at bruge tjenesten, indtil vi alle ved mere.

Vi ved, at grundlæggeren, Eric Yuan, er født og opvokset i Kina og måtte søge om visum til USA otte gange, før det lykkedes. Ud over Yuan er de største individuelle investorer i Zoom Li Ka-shing og Solina Chau. Tilsammen ejer disse tre personer omkring 48 % af firmaet.

Li Ka-shing er Asiens rigeste mand og har gennem mange år haft stærke bånd til det kinesiske kommunistparti. Solina Chau er direktør i Li Ka Shing Foundation.

Li Ka-shings relationer til det kinesiske kommunistparti er et faktum, men hvor stærke og varmhjertede de er, bør nok granskes nærmere. I december 2019 bragte Japan Times en artikel fra Reuters, der redegør for kontroverser mellem Xi Jinping og Li Ka-shing.


Konflikten lader til at have været under udvikling, siden Xi kom til magten i 2012, og eksploderede i lys lue i forbindelse med oprøret i Hong Kong i 2019.

Situationen med samarbejde over afstande er ny for os, og vi er alle søgende i, hvad det betyder for os og vores samarbejde, men omvæltningen er en proces, der kan styres mere eller mindre og kører i to parallelle spor. Der er behov for et organisatorisk adoption-spor (forankring af teknologien) samt et spor, der kigger på vores behov og teknologier til understøttelse af samarbejdet.

Vi råder jer alle til at få sat struktureret fokus på begge spor for at udnytte mulighederne ved situationen og samtidig minimere eksplicitte og implicitte risici.

2 visninger
KONTAKT

Pakhuset, Sdr. Havnegade 7, 6000 Kolding

Ny Carlsberg Vej 80, 1799 København

Tel: +45 71 99 05 80​

info@multikant.dk

  • Facebook - Hvid Circle
  • LinkedIn - Hvid Circle