GDPR Compliance от Zoom: история факапов

В 2020 году весь мир обсуждал, что заявление Zoom о сквозном шифровании оказалось ложным. А в августе 2021 года Государственное агентство по защите данных Германии порекомендовало прекратить правительству использовать Zoom из-за нарушений GDPR. Оказалось, что программное обеспечение передает данные в США.  IT-юристами Stalirov&Co рассказали c какими еще проблемами безопасности столкнулись Zoom, чтобы вы не повторяли ошибки мирового гиганта.

Gdpr compliance: что это и кому нужно внедрять gdpr

GDPR Compliance — это аудит на соответствие требованиям Общего регламента по защите данных. Внедрять требования нужно тем, кто собирает, обрабатывает и хранит персональные данные граждан ЕС. От того, какой у вас IT-продукт, или какие услуги вы предоставляете, зависит объем мер безопасности и необходимых документов. Например, интернет-магазину нужна Политика конфиденциальности, а аутсорсинговой IT-компании нужно подписывать Data protection agreement c клиентами и командой. Таким IT-гигантам как Zoom нужны Privacy Policy, Security Policy, DPA, внутренние политики и инструкции.

Какие ошибки совершил Zoom?

Covid-19 собрал весь мир в Zoom. Аудитория сервиса увеличилась с 10 миллионов пользователей в декабре 2019 года до 300 миллионов в апреле 2020 года по всему миру. Поэтому Политика конфиденциальности, меры безопасности и бизнес-процессы Zoom подверглись критике мирового сообщества.

Записи видеоконференций хранились в облаке после того, как пользователь их удалил

Архитектор информационной безопасности для CBS Interactive Фил Гимонд обнаружил уязвимость, которая позволяла кому угодно искать сохраненные видео Zoom. Для этого достаточно было использовать общую ссылку, которая содержат часть URL-адреса, например название компании или организации. Затем видео можно было загрузить и просмотреть. Zoom выпустил обновление. Теперь сервис добавляет Captcha, когда кто-то нажимает на ссылку общего доступа, чтобы устранить уязвимость.

Функция Zoom отображала данные из профилей LinkedIn без разрешения пользователей

Функция интеллектуального анализа данных позволяла участникам получать доступ к данным профиля LinkedIn о других пользователях. При этом Zoom не спрашивал их разрешения и не уведомлял о том, что кто-то другой шпионит за ними. Функция была доступна пользователям Zoom, которые подписались на премиум-версию LinkedIn Sales Navigator. Как только мир заговорил про нарушение, Zoom удалил функционал с платформы.

Микрофоны на Mac оставались включенными после завершения видеоконференции

В начале 2022 года пользователи Mac обнаружили, что после завершения совещания световой индикатор микрофона продолжает гореть. Позже, Zoom выпустил обновление до версии 5.9.3, чтобы устранить нарушение конфиденциальности.

85 млн долларов за урегулирование судебного иска

Zoom согласился заплатить 85 миллионов долларов для урегулирования группового судебного иска о нарушении конфиденциальности пользователей: введение пользователей в заблуждении о сквозном шифровании, передача личных данных технологическим компаниям Facebook, Google и LinkedIn и хакерские атаки (zoombombing).

Чем больше аудитория IT-продукта, тем пристальнее внимание к вопросам конфиденциальности и безопасности. И все уязвимости придется устранять. Такой подход нам демонстрирует Zoom и его опыт стоит внедрять в практику ваших компаний.

Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co

Понравилась статья? Поделиться с друзьями:
Задайте вопрос или оставьте свое мнение

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.