De privacyproblemen achter Zoom, Slack en Hangouts

Samenwerkingstools zoals Zoom, Hangouts en Slack genieten vandaag explosieve populariteit als gevolg van de wereldwijde lockdown-policies. De tools brengen echter privacyvraagstukken met zich mee. Sommige zijn het gevolg van bewuste ontwikkelkeuzes, terwijl andere grotere vraagtekens opwerpen, zeker bij Zoom.

Je baas kan meelezen met je Slack-berichten, zelfs in privé-conversaties. Dat is voor veel werknemers vermoedelijk een verrassende realisatie. Het gaat niet om een bug, maar een feature: ‘Corporate export for all messages’. Die functie is enkel beschikbaar binnen de Plus- en Enterprise-abonnementen, en bestaat dus niet voor gratis accounts. Slack vraagt dat bedrijven hun werknemers op de hoogte brengen van de spionage-optie, maar controleert natuurlijk niet of dat werkelijk gebeurt.

Snel gemaakte vergissing

Nu we met z’n allen zoveel mogelijk van thuis uit werken en contact met collega’s virtueel gebeurt, geven dergelijke voorbeelden aan dat voorzichtigheid geboden is. “Zeg niets via een zakelijke chattoepassing dat je niet ook in een vergadering zou zeggen”, lijkt een goede vuistregel. Klagen is des mensens, maar het laatste dat je wil is dat je baas jouw ongezouten mening, geuit in een moment van frustratie, zwart op wit kan lezen.

slack zoekfunctie
Bij betaalde abonnementen kunnen administrators ook privéberichten gestuurd via Slack lezen.

De Electronic Frontier Foundation (EFF), die zich bezighoudt met de bescherming van onze digitale rechten, waarschuwt voor de privacyrisico’s die samenwerkingstools met zich meebrengen. ‘Big Brother’-functionaliteit is één zaak, een ander probleem is dat velen onder ons niet gewoon zijn om met de nieuwe tools te werken en het overstapproces omwille van de lockdown misschien iets sneller is verlopen dan normaal.

Scheiding privé en werk

Denk bijvoorbeeld aan de productiviteits- en samenwerkingstoepassingen van Google. Niet alleen Hangouts, maar ook Sheets, Docs en andere Drive-toepassingen vereisen een Google-account. Voor organisaties die zich plots naar thuiswerk moesten schikken, is het Google-aanbod aanlokkelijk. Hebben alle werknemers echter een zakelijke Google-account gekregen? Of hebben mensen gemakkelijkheidshalve ingelogd met hun persoonlijke account?

Dat laatste scenario zorgt niet alleen voor beveiligingsproblemen binnen het bedrijf, aangezien het eenvoudiger is voor een werknemer om aan de haal te gaan met gevoelige info, het brengt ook een privacyrisico voor de gebruiker met zich mee. Werk en privé raken immers gekoppeld in een enkele account. Al snel verzeilt een privé-document in een gedeelde map of raakt je privé-mailadres verder gedeeld dan je zou willen.

Google is trouwens niet de enige waarbij de scheiding privé en werk soms moeilijk is. Microsoft introduceerde net Teams als tool voor families, zodat de grens ook daar vager wordt.

Zoom-debacle

Het grootste privacyprobleem komt echter van slecht geïmplementeerde code in de gebruikte applicaties zelf. Dat ontdekt Zoom nu. De videocall-dienst lijfde de afgelopen maand 2,22 miljoen nieuwe gebruikers in. Ter vergelijking: over heel 2019 waren dat er net geen 2 miljoen. Zoom is niet alleen populair bij bedrijven die videomeetings willen opzetten, maar wordt ook door particulieren gebruikt om de quarantaine-eenzaamheid te doorbreken.

Zoom kampte de afgelopen dagen met heel wat privacyproblemen.

Met die enorme populariteit werkt Zoom zich natuurlijk ook in de kijker van beveilingsexperts en privacyspecialisten. Wat eerst een zegen leek voor het bedrijf, wordt nu al snel een vloek: Zoom blijkt hoegenaamd niet privacyvriendelijk. Eerst en vooral is er het probleem van de unieke meeting-ID’s. Die tellen tussen de negen en de elf cijfers, en dat is te weinig. Hackers en grappenmakers kunnen vlotjes binnenbreken in meetings waarvan je terecht dacht dat ze privé waren door het ID te raden of desnoods via brute force te kraken. Dat is geen hypothetisch scenario maar iets dat echt gebeurt. Wie in de instellingen duikt, kan zijn videovergaderingen wel beveiligen met een wachtwoord wat dan ook een erg goed idee is.

Geen end-to-end en Facebook

Via die instellingen kan je volgens Zoom ook end-to-end-encryptie activeren. Dat betekent dat de inhoud van een call enkel zichtbaar is voor de deelnemers en dat zelfs Zoom niet kan meekijken. Die claim blijkt nu simpelweg onwaar te zijn: Zoom biedt geen end-to-end-versleuteling aan. Er is wel transportversleuteling van de stream, maar dat is iets anders.

Zoom biedt geen end-to-end-versleuteling aan.

Het wordt nog erger: tot vorige week kon Zoom gebruikersdata gebruiken om je advertenties te serveren. Neem ‘gebruikersdata’ daarbij erg ruim: het ging naar verluidt om onder andere transcripten en chatberichten gedeeld via de vergaderdienst. Momenteel ligt Zoom onder vuur voor het delen van inlogtijden en gebruikte apparaten van klanten met Facebook. In reactie op de kritiek heeft het bedrijf zijn privacyovereenkomst weliswaar aangepast. Zo lezen we nu dat Zoom niet aan opnames van gebruikers kan, die enkel worden bijgehouden wanneer de klant dat wil, en gegevens uit een videocall privé blijven.

Opletten

Wie de juiste beveiligingsinstellingen activeert heeft nu in principe niet meer zo veel te vrezen, maar de hele historie toont het belangrijkste risico van telewerk aan. Wie Teams, Slack, Hangouts, Zoom of een gelijkaardige tool gebruikt, communiceert via een middenman en is afhankelijk van de beveiliging en privacybescherming die de dienstverlener garandeert. Met de snelle sprong naar thuiswerk en de bijhorende tools, is de kans groot dat niet iedereen daar voldoende naar heeft gekeken.