Smart Working e Cybersecurity: le problematicità di Zoom e delle piattaforme di videoconferenza

A causa della pandemia di COVID-19 è avvenuta un’imponente riconversione nel mondo del lavoro. Al fine di garantire allo stesso tempo la continuità delle funzioni di aziende e pubbliche amministrazioni e il rispetto delle nuove norme di distanziamento sociale, molte entità si sono adoperate per permettere ai propri dipendenti di lavorare in modalità di smart working. Uno dei risultati di tale riconversione è stato l’incremento esponenziale dell’utilizzo di piattaforme di videoconferenza. Tra le piattaforme più popolari attraverso le quali enti pubblici e privati stanno conducendo i propri meeting online si contano Zoom, Cisco Webex, Skype for Business, Microsoft Teams e Google Classroom. Oltre a facilitare la riconversione del mondo del lavoro, l’aumento di traffico su queste piattaforme ha tuttavia inevitabilmente stimolato l’attenzione di hacker e attori malevoli intenzionati a trarre il maggior vantaggio possibile da questo nuovo contesto d’azione.

Nei giorni scorsi la piattaforma Zoom è stata presa ad esempio di questa dualità. Fin da prima dello scoppio della pandemia di COVID-19 la facilità di utilizzo dell’interfaccia della piattaforma aveva notevolmente contribuito al suo diffuso successo. Come molte altre start-up digitali, Zoom ha avuto il merito di mutuare la strategia commerciale introdotta agli inizi degli 2000 da Google: offrire un servizio straordinariamente semplice in grado di comprendere cosa voglia un utente e di fornirglielo immediatamente. Non stupisce quindi che nello scorso trimestre Zoom avesse già registrato una crescita dell’85% del suo fatturato annuo e un allargamento del 67% della sua base di utenti durante lo stesso trimestre[1].

A seguito dell’avanzare della pandemia, la pagina preposta al download del sistema di videoconferenza ha poi visto, nel solo mese di marzo, un incremento del suo traffico giornaliero del 535%[2]. Il potenziale valore della compagnia ha inoltre attirato investimenti sempre crescenti. La notizia circolata a fine marzo circa la sospensione messa in atto dall’ente statunitense preposto alla vigilanza della borsa valori, la U.S. Security and Exchange Commission, del trading di azioni della Zoom Technologies Inc. (ticker: ZOOM) è misura della crescente attrazione di nuovi investimenti da parte della piattaforma. Le vendite azionarie dell’azienda avevano infatti subito un incremento inusuale a causa di un errore degli investitori, intenzionati ad acquistare in realtà le azioni della piattaforma di videoconferenza Zoom Video Communications Inc. (ticker: ZM)[3].

Oltre a un cospicuo numero di investitori, il servizio di videoconferenza ha tuttavia attirato a sé anche l’attenzione di vari attori malevoli. Nello stesso mese di marzo è stato registrato un incremento del 2.000% di file dannosi contenenti “zoom” nel nome. Secondo una ricerca condotta dalla compagnia di cyber security Cyiax, dall’inizio della pandemia sarebbero circa 3.300 i nomi dominio registrati all’interno dei quali era presente la parola “zoom.” Di questi, 2.000 sono stati identificati come domini finalizzati al phishing[4]. Nello specifico, la creazione di tali nomi dominio è legata a campagne di ingegneria sociale attraverso le quali, tramite l’invio di messaggi mail targhettizzati, attori malevoli cercano di sottrarre informazioni personali, in genere di natura finanziaria, fingendosi degli interlocutori credibili. La stessa Cyiax ha inoltre scoperto la creazione di uno strumento, chiamato zWarDial, utilizzato da tali attori, che avrebbe permesso loro di individuare meeting non protetti da password.

Lo zoombooming, nuovo termine coniato da alcuni analisti di sicurezza informatica, è un ulteriore tipo di attacco cibernetico legato alla piattaforma e consiste nell’intrusione di hacker in meeting privati, o comunque di utenti estranei a una conversazione, i quali “bombardano” i partecipanti di messaggi di insulti, immagini pornografiche o altri contenuti indesiderati.

Le problematiche di Zoom non sono tuttavia legate esclusivamente all’ambito della sicurezza. Diverse obiezioni sono state sollevate relativamente al trattamento dei dati personali e alla salvaguardia della privacy messe in atto dalla piattaforma. A tal riguardo, tra le polemiche che hanno più infiammato il dibattito pubblico in queste settimane si conta quella della condivisione di dati con Facebook senza il consenso informato degli utenti, pratica oggi bloccata dalla piattaforma. I dati condivisi da Zoom comprendevano il tipo di dispositivo utilizzato dagli utenti, il sistema operativo, le dimensioni dello schermo e l’operatore mobile, nonché un identificatore univoco che le aziende avrebbero utilizzato per proporre annunci pubblicitari targettizzati.

In aggiunta, il Washington Post ha pubblicato negli scorsi giorni un’inchiesta secondo la quale migliaia di registrazioni di videoconferenze sarebbero state diffuse online, rendendo pubblicamente accessibili dati personali e strettamente confidenziali. Di fatto, alcune videoconferenze registrate tramite l’applicazione sono state posizionate in un archivio cloud, per accedere al quale non veniva richiesta alcuna password, che archiviava tutte le registrazioni sotto il medesimo nome identificativo, permettendo a chiunque cercasse tale identificativo online di accedere a una lista di circa 15.000 registrazioni omonime[5].

Ulteriori problematiche legate al trattamento dei dati da parte di Zoom sono insorte a seguito della pubblicazione di una ricerca dell’Università di Toronto che ha evidenziato come il sito di videoconferenza abbia fatto passare dati dei suoi utenti attraverso due suoi server localizzati in Cina, esponendo le riunioni coinvolte al rischio dello spionaggio da parte di Pechino[6]. Anche in questo caso, Zoom ha annunciato di aver risolto il problema e che l’utilizzo di server in Cina per la gestione delle conversazioni ha coinvolto un numero molto limitato di casi, quantunque l’apprensione circa il rischio di azioni di intelligence straniera a danno dell’azienda sia rimasta alta.

La piattaforma si è vista infine coinvolta in un’inchiesta condotta dal magazine The Intercept circa il mancato utilizzo di cifratura end-to-end, problema anch’esso risolto attraverso un aggiornamento delle policy dell’azienda. In questo contesto, al fine di rassicurare i propri utenti e investitori Zoom ha annunciato una serie di misure tra le quali la creazione dell’opzione “security”, che un host può selezionare in caso di intrusione in una videoconferenza privata di ospiti non riconosciuti; la rimozione del Meeting ID dalla barra degli strumenti dell’applicazione; e l’assunzione del ex CSO di Facebook Alex Stamos come consulente per la sicurezza[7].

Il tortuoso succedersi di notizie che ha visto coinvolto Zoom e la dinamica di rincorsa tra scandali e politiche correttive dimostra come le risorse preposte alla sicurezza cibernetica e al controllo della salvaguardia della privacy degli utenti siano ad oggi ancora largamente insufficienti. In aggiunta, il fatto che nelle ultime settimane la piattaforma sia stata così duramente attaccata lascia intendere non tanto che queste problematiche riguardino solo Zoom, quanto che queste siano insorte perché il sito è diventato un soggetto particolarmente sotto scrutinio. È anzi realistico pensare che, proprio alla luce dei vari scandali che l’hanno vista coinvolta, la piattaforma stia prendendo maggiori misure al fine di salvaguardare sicurezza e privacy di quanto non stiano facendo i suoi competitor.

Più che una caccia all’ “untore” di cattive pratiche, la vicenda che ha visto coinvolta la piattaforma Zoom dovrebbe quindi servire come monito riguardo alle vulnerabilità a cui sono esposti questi sistemi, e alla prontezza e ferocia con cui diversi attori sono disposti a servirsene. Risposte mirate a problemi mirati sono necessarie, ma non sufficienti: una maggiore cyber hygene degli utenti, nonché una risposta concertata a livello internazionale, appaiono dunque più che mai necessarie.

 

Note

[1] Jon Quast, Can Zoom Stay Focused on Happiness While It Grows Like Gangbusters?, The Motley Fool, 8 gennaio 2020. https://www.fool.com/investing/2020/01/08/can-zoom-stay-focused-on-happiness-while-it-grows.aspx

[2] Davey Winder, Zoom Isn’t Malware But Hackers Are Feeding That Narrative, And How: Zoom-Related Threats Up 2,000%, Forbes, 12 aprile 2020. https://www.forbes.com/sites/daveywinder/2020/04/12/zoom-isnt-malware-but-hackers-are-feeding-that-narrative-and-how-zoom-related-threats-up-2000/#3bce55af1ae5

[3] Jen Wieczner, ‘ZOOM’ stock halted after investors confuse it with Zoom Video stock, Fortune, 26 Marzo 2020. https://fortune.com/2020/03/26/zoom-stock-halt-zm-ticker/

[4] CYJAX INSIGHTS AND RESEARCH. https://www.cyjax.com/category/blog/

[5] Drew Harwell, Thousands of Zoom video calls left exposed on open Web, Washington Post, 3 aprile 2020. https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

[6] Patrizia Licata, Zoom fa mea culpa: “Dati degli utenti inviati per errore in Cina”, CorCom, 6 aprile 2020. https://www.corrierecomunicazioni.it/privacy/zoom-fa-mea-culpa-dati-degli-utenti-spediti-per-errore-in-cina/

[7] Kate O’Flaherty, Zoom Security: Here’s What Zoom Is Doing To Make Its Service Safer, Forbes, 10 aprile 2020. https://www.forbes.com/sites/kateoflahertyuk/2020/04/10/zoom-security-heres-what-zoom-is-doing-to-make-its-service-safer/#720332bc30fc

 

Articolo a cura di Carolina Polito

Profilo Autore

Carolina Polito, Ph.D. Candidate all’Università LUISS Guido Carli e Associate Research Assistant presso il Centre for European Policy Studies (CEPS)

Condividi sui Social Network:

Ultimi Articoli