ماذا سببت الثغرة الأمنية في تطبيق زووم؟
يواجه تطبيق زووم المؤتمرات الفيديو دعوى قضائية من قبل أحد مساهميه بعد الكشف عن ثغرات أمنية أثرت على قيمة أسهمها السوقية، وفق وسائل إعلام أميركية ورفع مايكل دريو دعوى ضد الشركة متهماً إياها بالمبالغة في تقدير معايير الخصوصية للتطبيق وعدم الكشف عن أن خدمتها لم تكن مشفرة من طرف إلى طرف (End to End)، وقدّرت زوم عدد المستخدمين في شهر مارس الماضي بحوالي 200 مليون مستخدم يومياً من 10 ملايين في السابق.
وإذا ما كانت الأدلّة السابقة ليست كفيلة بإدانة زوم، فإن تلاعبها بالمُصطلحات التقنية كفيل بذلك، فالشركة ذكرت في اتفاقيّة الاستخدام الخاصّة بها أن الاجتماعات مُشفّرة بشكل كامل (end-to-end)، لتكشف دراسة أمنيّة أن مُكالمات الفيديو ليست مُشفّرة مثلما تزعم الشركة.
غن مكتب التحقيقات اليفدرالي (FBI) انتبهوا لهذه المخاوف وأطلق مكتبهم في بوسطن (Boston) تحذيراً من استغلال القراصنة أزمة المرض الجديد لاختراق خصوصيات المستخدمين. ووفق الدعوى في إحدى محاكم كالفورنيا، يقول دريو إن تقارير إعلامية أخيرة سلطت الضوء على عيوب الخصوصية في التطبيق، ممّا أدى إلى انخفاض سهم الشركة، كما وحذر باحثون في كندا الأسبوع الماضي من أنهم اكتشفوا أن عدد من المكالمات التي تتم عبر برنامج المحادثات بالفيديو زووم في أميركا الشمالية يتم توجيهها من الصين، ما استدعى اعترافاً من الشركة التي أقرت بحدوث خطأ قامت بإصلاحه.
انخفض سهم الشركة بنحو 7.5 بالمائة عند 113.75 دولار، وقد فقد ما يُقارب من ثلث قيمته السوقية منذ أن وصل إلى مستويات قياسية في أواخر مارس، وتحاول الشركة التغلب على القضايا الأمنية، فيما يرتفع عدد المستخدمين الجدد من جميع أنحاء العالم في وقت يضطر فيه الناس للعمل من المنزل لإبطاء انتشار فيروس كورونا المستجد، وقد حظرت شركة الصواريخ “سبيس إكس” التابعة لشركة إيلون ماسك موظفيها مؤخراً من استخدام تطبيق زووم، مشيرة إلى أنّ هُناك مخاوف كبيرة تتعلق بالخصوصية والأمآن، في حين طلب مجلس الوزراء التايواني من الوكالات الحكومية التوقف عن استخدام التطبيق.
حيث اكتشف خبراء الأمن كيف يمكن استخدام هذه الخدمة من قبل أصحاب العمل للتجسس بشكل فعّال على موظفيهم في المنزل، حيث ازدادت متاعب الشركة بعد أن كشفت شركة الأمن السيبراني “سيكسدجيل” أن ما يقارب من 352 حساب على التطبيق تم اختراقه من قبل مستخدم على منتدى شهير في الويب المظلم، وفق ما نقل موقع “ماشابال” الهندي، كما شملت المعلومات المسروقة عنوان البريد الإلكتروني لكل حساب وكلمة المرور ومُعرف الاجتماع ومفتاح المُضيف واسمه، وأوضح الموقع أن بيانات الاعتماد المسروقة تمّ تصنيفها حسب نوع الحساب، ما يعني أن الاختراق شمل حتى حسابات دفع أصحابها مقابل خدمة من الدرجة الأولى.
