SÃO PAULO – A necessidade de isolamento social fez com que diversas empresas adotassem o trabalho remoto para continuar funcionando durante a pandemia de coronavírus.
Diante do novo cenário, a busca por iniciativas que integrem as equipes de trabalho por meio de videoconferência fez com o Zoom, um apliacativo criado em 2011, rapidamente crescesse em número de usuários – superando em algumas semanas os resultados alcançados no último ano.
A plataforma virou uma alternativa para a realização de reuniões de trabalho, encontros de amigos, aulas e até mesmo entrevistas.
A popularização, porém, trouxe à tona diversos problemas da ferramenta. Além de questões de segurança, a política de privacidade da empresa e suas práticas de proteção de dados passaram a ser questionadas.
Em janeiro, a empresa de segurança cibernética Check Point Research descobriu uma falha no Zoom que permitiria que hackers ouvissem videoconferências sem ser convidado. Esse erro daria acesso a arquivos internos e outras informações confidenciais.
Outras brechas no sistema permitem que estranhos invadam salas para perturbar reuniões e disseminar malwares para os computadores dos participantes. Em um caso recente, uma reunião sobre a Covid-19 promovida pela Sociedade Brasileira de Imunologia (SBI) foi invadida por pessoas que exibiram saudações nazistas e a foto de Hitler.
Na mesma semana do incidente, a Agência Nacional de Vigilância Sanitária (Anvisa) proibiu o uso da ferramenta de videoconferência Zoom por falhas de segurança identificadas no aplicativo. Outras empresas, como o Google e a Space X, de Elon Musk, seguiram a mesma recomendação.
Altos e baixos
Mesmo com as críticas generalizadas de usuários e especialistas preocupados com as várias falhas do aplicativo e as quedas causadas pelo novo coronavírus no mercado global, as ações da Zoom saltaram até 135% desde o início dos efeitos do novo coronavírus na economia – atingindo uma alta histórica de US$ 159,56 no dia 23 de março.
A empresa avaliada em cerca de US$ 31 bilhões é o principal aplicativo gratuito baixado para iPhones e dispositivos Android, superando o TikTok e o WhatsApp.
Apesar do bom desempenho, o Credit Suisse rebaixou na segunda-feira sua classificação do Zoom de neutro para abaixo do desempenho, o equivalente a venda, citando o aumento da concorrência e a alta valorização da empresa.
Na avaliação do banco, o Zoom tem um preço para um crescimento sustentado das vendas a longo prazo de 24%, juntamente com as margens do EBITDA em 35%. Apesar de ter o melhor produto no momento certo, o Credit Suisse acredita que o Microsoft Teams será a ameaça mais significativa e vê o crescimento da plataforma como “efêmero”.
“Nós parabenizamos o Zoom por ser um super-herói na atual crise da saúde, embora nossa responsabilidade como analistas de ações nos obrigue a distinguir grandes empresas de grandes ações”, escreveu o analista Brad Zelnick.
O Credit Suisse também vê que os problemas de segurança do Zoom levaram alguns usuários de alto nível a deixar a plataforma, sinalizando os baixos custos de troca. O banco elevou seu preço-alvo para o Zoom de US$ 95 para US$ 105.
Além do aumento do preço das vendas, a popularização do serviço de videoconferência colocou Eric Yuan, CEO da empresa, pela primeira vez na lista de bilionários da Forbes, com um patrimônio líquido de US$ 5,5 bilhões.
Por dentro dos problemas de privacidade
A empresa foi acusada de não usar criptografia de ponta a ponta nas suas videoconferências e vazar milhares de endereços de e-mail de usuários para estranhos. A criptografia garante que os arquivos sejam cifrados permitindo somente que os envolvidos na transmissão tenham acesso ao conteúdo.
Milhares de gravações de reuniões ficaram expostas na internet por falta de segurança dos servidores do programa. Além disso, o aplicativo permite que os hosts monitorem se outros usuários mantiveram o aplicativo na tela nos últimos 30 segundos.
O Zoom afirmou que o recurso vem desabilitado por padrão, podendo ser habilitado pelo organizador da reunião e utilizado quando ele estiver compartilhando sua tela. Para evitar as invasões, a empresa criou o recurso sala de espera, em que os participantes aguardam a liberação do organizador para entrar na reunião.
Segundo o CEO da IBLISS Segurança & Inteligência e mestre em Engenharia da Computação, Leonardo Militelli, os vários problemas apresentados ocorrem porque a empresa prezou pela funcionalidade do aplicativo em detrimento da segurança e privacidade dos usuários. “A ferramenta começou a crescer com investimentos, mas se omitiu para uma série de fatores de segurança”, afirma.
Militelli explica que a ausência de processos de validação da segurança do código do software gerou no descobrimento de diversas brechas – aumentando os questionamentos sobre a vulnerabilidade da plataforma -, ao mesmo tempo em que ela se torna popular e vira alvo de pesquisadores e cibercriminosos.
“O aplicativo nunca foi desenvolvido considerando segurança e privacidade como requisitos para a solução do software. Diversas vulnerabilidades foram encontradas na própria aplicação, porque ela não foi feita seguindo o conceito security by design, ou seja, você pensar na segurança do produto desde a sua concepção inicial.”
A política de privacidade e uso de dados da companhia também é questionada. Especialistas apontaram que a empresa armazenava chaves de criptografia em servidores localizados na China, mesmo quando as conversas não eram feitas no país, onde o governo possui poder legal sobre os dados de empresas privadas.
A empresa afirmou armazenar os dados de todas as videoconferências em diretórios locais, redirecionando os conteúdo para outros servidores ao redor do mundo, apenas em situações de falha de conexão.
Durante períodos de intensidade, o serviço de videoconferência transfere o tráfego para o data center mais próximo com a maior capacidade disponível – mas os data centers da Zoom na China não devem ser usados para redirecionar as chamadas de usuários não chineses.
Porém, em fevereiro, uma falha em seu sistema encaminhou dados para o servidor chinês. Em sua defesa, a companhia alegou ter resolvido a questão.
Coleta de dados
Incidentes envolvendo mineração de dados sem a autorização colocou em questão as políticas aplicadas pelo aplicativo.
Uma falha denunciada pelo site Motherboard, confirmada pela empresa, aponta para o repasse de dados dos smartphones dos usuários do Zoom ao Facebook, mesmo quando a integração com a rede social não era habilitada.
Com o compartilhamento das informações, o Facebook, em troca, oferece uma uma análise desses dados para que o dono do site ou app conheça melhor o seu público.
Já em outro problema, participantes acessavam dados do perfil de LinkedIn de outros usuários de maneira escondida, sem que o Zoom solicitasse a permissão deles durante a conversa, nem os notificassem.
De acordo com o The New York Times, o recurso estava disponível para clientes do Zoom que assinassem um serviço de prospecção de vendas do LinkedIn chamado LinkedIn Sales Navigator. Quando o recurso era habilitado, ele dava acesso oculto ao perfil de LinkedIn dos outros usuários da chamada.
Um porta voz da empresa, em entrevista ao Business Insider, afirmou que a empresa não vende nenhum tipo de dados e protege a privacidade dos dados dos seus usuários.
“O Zoom coleta apenas dados do usuário necessário para fornecer suporte técnico e operacional e melhorar nossos serviços. O Zoom deve coletar informações técnicas como endereços IP dos usuários, detalhes do SO e detalhes do dispositivo para que nosso serviço funcione corretamente”.
Em ambos os casos, o Zoom afirmou ter atualizado o software para retirar os recursos de mineração de dados e integrações com outras redes sociais, mas a medida em que cresce em popularidade, a empresa enfrenta pedidos de transparência na maneira como lida com os dados do usuário.
Como se proteger?
Para minimizar as chances de invasão, o especialista de segurança da informação da Compugraf, Devis Riviello, recomenda ativar as opções de segurança da plataforma e aplicar as novas funções disponibilizadas pelo aplicativo.
Uma das últimas atualizações do sistema obriga a criação de uma senha para reuniões e salas de espera virtuais por padrão para todos os usuários dos planos Free Basic e Single Pro.
Um botão de segurança também foi acrescentado para guiar os usuários a um local onde possam bloquear uma reunião, habilitar uma sala de espera virtual para os participantes que ingressam em uma chamada, remover participantes, restringir quem pode compartilhar sua tela, anotar conteúdo e compartilhar conteúdo e conversar em uma chamada.
O especialista pontua que no ambiente corporativo a opção de sala de espera é fundamental para evitar possíveis vazamentos e desabilitar funcionalidades que deixem o anfitrião (criador da chamada) fora do controle da situação, como permitir que pessoas entrem antes na ligação.
“É importante sempre enviar os links de invite um a um e não utilizar o aplicativo em lugares públicos, porque você fica muito mais exposto. Além disso, desativar algumas opções que geram vulnerabilidade como salvamento automático do chat, transferência de arquivos e compartilhamento tela por não anfitriões. Depois que todo mundo estiver conectado, como numa reunião de trabalho, o melhor é trancar a sala para evitar qualquer problema.”
Leonardo Militelli pontua ainda a necessidade de atualizar o aplicativo para a última versão antes de usar e, quando conveniente, migrar para outras plataformas de videoconferência. “Hoje não sabemos, mesmo usando das melhores práticas do Zoom, se teremos confidencialidade e sigilo quando trafegarmos pela plataforma”, aponta.
Falta de transparência e novos rumos
Para Riviello, houve uma demora da companhia em apresentar soluções para os problemas apresentados. Segundo o especialista, o aplicativo está sendo tratado como um vetor de invasões diante do cenário de pandemia, que intensifica o uso de pessoas conectadas e cria um ambiente ideal para cibercriminosos derrubar serviços e espalhar malwares.
“No primeiro momento eles trataram isso de forma leviana e só depois se deram conta da dimensão do problema. Apesar de estarem tomando algumas medidas, não estão conseguindo ser eficazes porque ainda existe vulnerabilidade e diante do grande uso da plataforma, nem todas as correções estão sendo divulgadas. Está faltando um pouco de transparência, pois se eles estão trabalhando intensivamente nessas correções, não está sendo publicizado”, afirma Riviello.
Em uma carta aberta publicada pelo grupo de direitos digitais Access Now, na semana passada, os ativistas pediram ao Zoom que publicasse um relatório de transparência, igual aos feitos pelo Google e pela Microsoft, para esclarecer como estão lidando com os dados do usuário e sua posição sobre a liberdade de expressão.
“O Zoom vê nossos quartos, escritórios e salas de estar. São os meios pelos quais trabalhamos, aprendemos e permanecemos conectados aos nossos entes queridos. Portanto, eles têm o dever de garantir que respeitem nossos direitos humanos, à medida que tentamos manter a vida cotidiana em meio a esta crise de saúde pública”, disse a analista de políticas do Access Now US, Isedua Oribhabor.
No início do mês, o CEO da companhia, Eric Yuan, se desculpou por meio de uma nota publicada no blog da empresa em que reconheceu não atingir as expectativas de privacidade e segurança dos usuários.
O executivo destacou os desafios enfrentados pela plataforma, projetada inicialmente para clientes corporativos, mas tomada pela utilização de usuários domésticos nos últimos meses.
“Não projetamos o produto com a previsão de que, em questão de semanas, todas as pessoas no mundo de repente trabalhariam, estudariam e socializariam em casa. Agora, temos um conjunto muito mais amplo de usuários que estão utilizando nosso produto de inúmeras maneiras inesperadas, apresentando-nos desafios que não prevíamos quando a plataforma foi concebida”, escreveu Yuan.
A empresa se comprometeu nos próximos 90 dias a se concentrar para solucionar os problemas de segurança, suspendendo o desenvolvimento de novos recursos e realocando o time de engenharia para trabalhar nas questões de confiança e privacidade.
Além disso, Yuan anunciou a preparação de um relatório de transparência com informações detalhadas sobre solicitações de dados, registros e conteúdos e a criação de um conselho de segurança da informação para discutir questões de privacidade, segurança e tecnologia em parceria com especialistas do setor e outras entidades.
Segundo a Reuters, o conselho é formado pelos diretores de segurança da informação do HSBC, NTT Data, Procore e Ellie Mae. Um colegiado também foi criado para aconselhar o presidente-executivo, Eric Yuan, em questões de privacidade, com os chefes de segurança da VMware, Netflix, Uber e Electronic Arts.
Diante das críticas e desconfianças, a companhia anunciou a contratação do ex-chefe de segurança do Facebook, Alex Stamos, para comandar as melhorias na privacidade e segurança do aplicativo que contava com 10 milhões de participantes diários em dezembro e hoje chega a 200 milhões por dia, de acordo com dados da própria companhia.
