Todo mundo parece estar usando o Zoom. Mas suas falhas de segurança podem deixar as pessoas em risco

(Drew Harwell  / WP Bloomberg Washington Post) Quando a Universidade de Georgetown começou a aconselhar o corpo docente a usar o serviço de videochamada Zoom para gravar suas aulas durante os bloqueios por coronavírus, o professor James Millward não pôde deixar de se preocupar com a localização de todo esse vídeo.

Leia também

Home office valoriza Zoom, mas investidores compram ações erradas

Seu curso sobre a China moderna apresenta discussões de fluxo livre e imparcial sobre questões controversas, como censura e vigilância. Como a privacidade dos alunos seria protegida? E aqueles vídeos dos rostos, vozes e perguntas dos alunos algum dia poderiam ser usados ​​contra eles? “Se tivéssemos uma câmera grande na parede gravando tudo o que acontecia em nossas salas de aula normais, ficaríamos muito alarmados com isso”, disse ele em entrevista. “E, no entanto, agora estamos ansiosamente organizando tudo isso em nossas casas, criando essas gravações sem ter idéia do que está acontecendo com elas.”

Depois que o contágio do coronavírus acabou com muitos rituais da vida cotidiana, muitos deles reapareceram no Zoom, um serviço de videochamada que explodiu em popularidade em um país quase totalmente fechado.

Casamentos, funerais, demissões de empresas, aulas de jardim de infância e reuniões oficiais do governo foram transmitidas através de sua plataforma, levando o valor de mercado da empresa do Vale do Silício a dobrar para cerca de US$ 35 bilhões este ano. Mas o dramático crescimento da empresa veio com uma crise própria: um alvoroço por questões de segurança, privacidade e assédio que poderiam colocar em risco seu público crescente.

Pesquisadores de segurança que analisaram o código de Zoom dizem que seu software depende de técnicas que podem deixar os computadores das pessoas expostos. E seus acordos de compartilhamento de dados e a capacidade de alguns usuários de gravar conversas sem o consentimento de todos os envolvidos podem prejudicar a privacidade das pessoas, à medida que realizam chamadas confidenciais em casa.

Lançados como um bate-papo por vídeo voltado para os negócios, os engenheiros da Zofom adotaram decisões de design que contornavam certas salvaguardas para poupar alguns cliques às pessoas antes de fazer uma ligação. Mas especialistas técnicos argumentam que os atalhos estão prontos para hackers que poderiam explorá-los para espiar secretamente a vida das pessoas.

Nos últimos dias, a empresa sofreu uma tempestade de revelações embaraçosas de pesquisadores de segurança – falhas que poderiam permitir que estranhos roubassem informações de login, acessassem mensagens e ganhassem o controle das câmeras e microfones dos usuários. Eric Yuan, chefe da Zoom, disse em um post do blog na noite de quarta-feira (1º) que estava “profundamente arrependido” por não ter alcançado as “expectativas de privacidade e segurança” dos usuários. “Não projetamos o produto com a previsão de que, em questão de semanas, todas as pessoas no mundo de repente trabalhariam, estudariam e socializariam em casa”, escreveu ele. A nova base de usuários do sistema, disse ele, estava usando o Zoom de “maneiras inesperadas, apresentando-nos desafios que não prevíamos quando a plataforma foi concebida”.

A empresa, disse Yuan, congelará o trabalho em novos recursos e mudará todos os seus recursos de engenharia nos próximos 90 dias para seus maiores déficits de segurança e privacidade. A empresa também está reunindo uma equipe de especialistas externos para realizar uma “revisão abrangente” do sistema e elaborar um plano de batalha de curto prazo. O Zoom também está removendo alguns recursos controversos, incluindo uma opção de “rastreamento de atenção” que permitia que um host fosse alertado quando o sistema suspeitasse que um participante de uma chamada estava procurando outro lugar.

As autoridades federais e estaduais começaram a fazer perguntas sobre como o software monitora e protege os fluxos de vídeo dos americanos. A procuradora-geral de Nova York, Letitia James, pediu à empresa detalhes sobre como os dados dos usuários são compartilhados e salvaguardados, e o senador Richard Blumenthal escreveu uma carta a Yuan exigindo respostas para a “história preocupante da empresa de design de software” práticas e lapsos de segurança”. “Os milhões de americanos agora inesperadamente freqüentam a escola, comemorando aniversários, procurando ajuda médica e compartilhando drinques noturnos com amigos pelo Zoom durante a pandemia de coronavírus”, escreveu Blumenthal, “não deveriam adicionar medos de privacidade e segurança cibernética à sua lista cada vez maior de preocupações”.

Alex Stamos, ex-chefe de segurança do Facebook que agora lidera o Stanford Internet Observatory, disse que os problemas de Zoom variaram de decisões tolas de design a graves falhas de segurança de produtos – muitas das quais ele é lembrado constantemente, porque ele, sua esposa e suas três escolas crianças em idade de idade agora usam o Zoom em casa todos os dias. “O Google nunca enviaria esses problemas. Nunca. Eles podem pagar a melhor equipe de segurança do mundo”, afirmou. “Mas em um mercado competitivo, o que você também tem que aturar é a crescente preocupação com a segurança das empresas iniciantes”. 

O Zoom se tornou um fenômeno global praticamente da noite para o dia, porque seu software de videochamada é relativamente rápido, confiável e fácil de usar. Enquanto os clientes corporativos da Zoom pagam milhares de dólares por mês pelo serviço, qualquer pessoa pode usá-lo para videochamadas gratuitas ou reuniões de grupo de até 40 minutos. Durante o surto, a empresa também permitiu que escolas primárias usassem a plataforma gratuitamente. O Zoom foi usado por mais de 200 milhões de pessoas no mês passado, contra 10 milhões em dezembro, e agora é usado em mais de 90.000 escolas em 20 países, disse Yuan. Mais de 5 milhões de pessoas nos EUA usaram os aplicativos móveis da Zoom na terça-feira (31), cinco vezes mais que há um mês, superando a concorrência de seus principais rivais, incluindo Skype, Slack, Google Hangouts e Microsoft Teams, mostram os dados da empresa de pesquisa de software Apptopia.

Yuan, o bilionário fundador de Zoom, disse que sonhou com um serviço de bate-papo por vídeo quando era estudante universitário na China durante longas viagens de trem para visitar sua namorada (agora esposa). Ele se mudou para o Vale do Silício durante o boom tecnológico do final dos anos 90, ingressando na empresa rival de vídeo WebEx e depois desertou com uma equipe de engenheiros para fundar a Zoom em 2011.

A empresa sediada em San Jose faturou a maior parte de seus US$ 188 milhões durante no último ano fiscal, encerrado em 31 de janeiro, de assinaturas de serviços de vídeo vendidas para mais de 80.000 empresas, mostram os registros financeiros. Isso faz parte do problema, disseram alguns especialistas do setor: o Zoom nunca foi projetado para famílias, escolas e grupos sociais que não têm certeza das configurações avançadas e dos controles técnicos. A popularidade repentina do serviço foi tão inesperada que Yuan disse em uma cúpula virtual na quarta-feira (1º) que a mudança de uma clientela profissional para uma audiência comum foi o “desafio número 1 da empresa”.

A Zoom enfrentou fortes críticas no verão passado, quando um pesquisador de segurança mostrou que a empresa estava instalando software secreto nos computadores dos usuários que podiam ligar as câmeras sem o conhecimento ou consentimento deles. A empresa defendeu a prática como ajudando a acelerar as reuniões, mas grupos como o Centro de Informações sobre Privacidade Eletrônica, que registrou uma queixa da Federal Trade Commission, disseram que ignoravam as configurações de segurança e poderiam invadir silenciosamente a ligação de um usuário do Zoom caso quisessem. Depois que a Zoom disse que corrigiu o problema, os engenheiros da Apple deram o raro passo de excluir universalmente os programas. Zoom disse que não usa mais a técnica. Mas, à medida que a popularidade do aplicativo cresce, os pesquisadores revelam novas preocupações. Os aplicativos para iPhone e iPad da Zoom enviaram algumas informações limitadas, como a cidade do usuário e, quando abriram o aplicativo, para o Facebook como parte de um recurso de login comum na web. Após a saída da tecnologia, a Motherboard ter revelado a prática, Zoom disse que removeu o código. 

O Zoom anunciou uma medida de segurança, conhecida como criptografia de ponta a ponta, que protegeria as mensagens entre um remetente e seus destinatários designados. Mas uma análise no canal online The Intercept nesta semana mostrou que as mensagens não são criptografadas corretamente, permitindo que espectadores externos vejam seu conteúdo potencialmente. Um executivo da Zoom escreveu na quarta-feira (1º) um blog pedindo desculpas pela confusão, dizendo “reconhecemos que há uma discrepância entre a definição comumente aceita de criptografia de ponta a ponta e como a usamos”.

Pesquisadores de segurança disseram que as vulnerabilidades de software também podem permitir que hackers acessem as câmeras e microfones dos usuários. Os representantes da Zoom disseram estar “investigando ativamente” os relatórios. E o código que o Zoom usa para acelerar a instalação depende de “más práticas de segurança e … mentindo para o usuário”, de acordo com um analista técnico da empresa de segurança cibernética VMRay. Yuan, chefe da Zoom, disse em resposta que a empresa havia usado essas práticas para “equilibrar o número de cliques” exigidos por um usuário antes que o programa pudesse ser usado. 

O uso abrupto do Zoom nos EUA também aumentou as ansiedades entre alguns chefes e professores, que lutam para liderar as pessoas em um novo e estranho tempo. A reitora da Universidade de Nova York (NYU), Katherine Fleming, enviou um e-mail para a equipe de professores no mês passado, tentando resolver algumas preocupações sobre o estilo de ensino que ela escreveu “tinha sido um desafio para todos e um grande obstáculo para alguns”. “Realizar aulas remotamente não é um primeiro passo secreto no caminho para eliminar nosso modo regular de instrução”, escreveu Fleming, de acordo com uma cópia do e-mail fornecido ao The Washington Post. “A NYU não está usando o NYU Zoom para vigiar sua classe.”

Clay Shirky, vice-reitor de tecnologias educacionais da Universidade de Nova York, disse que o Zoom ajudou a universidade a resgatar o semestre de cancelamentos devastadores: a qualquer momento do dia escolar, mais de 250 aulas estão sendo realizadas no Zoom. O Zoom se esforçou para navegar pelas críticas, lançando guias sobre como os usuários podem proteger melhor seus fluxos de vídeo. No fim de semana passado, a empresa também atualizou sua política de privacidade para dizer que as mensagens de vídeo e bate-papo do cliente não são acessadas pela empresa ou usadas para publicidade. “Suas reuniões são suas. Nós não as monitoramos nem as armazenamos após a conclusão da sua reunião”, exceto a pedido do anfitrião, escreveu a chefe jurídica da Zoom Aparna Bawa.

Mas já há alguma indicação de que a reação começou a pesar sua linha de fundo: o preço das ações da empresa, que subiram inicialmente durante os bloqueios por coronavírus, caiu nesta semana quase 20%. Pelo menos duas ações coletivas foram movidas contra a Zoom nesta semana, alegando que a empresa compartilhou indevidamente as informações pessoais dos usuários e enganou os clientes com a promessa de bate-papo criptografado.

A empresa enfrentou pressão adicional devido ao aumento dos ataques “zoombombing”, nos quais trolls anônimos invadem reuniões desbloqueadas do Zoom, gritando insultos profanos e insultos racistas. Vídeos dos ataques, alguns dos quais foram removidos pelo YouTube por violar políticas de discurso de ódio, mostram trolls rindo postando pornografia em aulas online, puxando as calças na frente de teleconferências da empresa e dançando com garrafas de bourbon em o que parecia ser uma reunião on-line de Alcoólicos Anônimos. Alguns estudantes também acessaram os fóruns do Reddit e as salas de bate-papo do Discord para solicitar que as pessoas sequestrassem sua própria classe. “Por favor, estou implorando, invadam minha classe AP Stats”, escreveu uma pessoa em um fórum do Reddit nesta semana dedicado às invasões da escola Zoom.

O usuário também listou os nomes do diretor da escola, diretor e ex-professores, detalhes que os trolls poderiam usar para obter efeitos cômicos, acrescentando: “Faça o que diabos você quiser”. A empresa afirmou em comunicado que “condena veementemente o assédio” e está tentando remover os vídeos e identificar os trolls para “garantir que isso não aconteça novamente”. Mas alguns usuários do Zoom acham que a empresa não agiu de maneira agressiva o suficiente. Dennis Johnson, recém-formado pela Universidade Estadual da Califórnia em Long Beach, estava defendendo sua tese de doutorado na semana passada em uma chamada de zoom da universidade quando um usuário desconhecido assumiu o vídeo e começou a rabiscar uma imagem de um pênis e uma insônia racial – tudo enquanto a mãe de Johnson, avó, cônjuge e dezenas de outros amigos e familiares assistiram. “Eu literalmente tive que fazer uma pausa por um segundo, pensando: ‘Isso não pode estar acontecendo agora’”, disse Johnson. “Alguém literalmente roubou meu momento. Três anos escrevendo este artigo, meses de preparação, e eu chego lá e é tirado de mim e não há nada que eu possa fazer para recuperá-lo.”

Elana Zeide, que pesquisa tecnologia e políticas na Universidade da Califórnia, faculdade de direito de Los Angeles, disse que o exame minucioso do Zoom ajudou a chamar a atenção para suas decisões questionáveis ​​de design. Mas também destacou a tensão das pessoas que lutam, em meio ao caos do “distanciamento social”, para encontrar uma maneira simples de se reunir online. “Você tem escolas e pais em uma pitada, e existem apenas tantas ferramentas para usar”, disse ela.