随着Zoom普及，Zoom的隐私问题日益严重

在这个“一切都在家”的突然时代里，我们还有几周，甚至更多个月的时间。在家工作，在家上学，在家举行葬礼，在家中举行教堂，在家中度过快乐时光，您可以说出它的名字，而我们作为一个社会，正在尽我们最大的努力来实现这一目标。结果，技术用途无处不在，但可以说，迄今为止，“哦，废话，我的网络摄像头在哪里”时代的最大赢家是视频会议平台Zoom。

Zoom的易用性，功能库和免费服务层使其成为了首选资源，不仅适用于以前在会议室举行的所有办公会议，而且还适用于教师，宗教服务甚至政府。反过来，这种广泛使用正使Zoom的隐私和数据收集实践成为人们关注的焦点，这显然还有很多不足之处。

在医疗保健和教育领域，这一挑战尤其明显：Zoom确实提供了特定的企业级程序包-Zoom for Education和Zoom for Healthcare符合隐私法（分别为FERPA和HIPAA）。但是这些字段可以在免费层上使用，也可以使用未考虑这些特殊需求的个人或其他类型的企业许可证。

成长（隐私）之痛

Zoom的隐私权政策在一周多以前就开始受到有关其存储和使用客户数据的规定的广泛关注。当时，该平台表示将收集，存储和与广告商共享数据，这些数据可能包括平台上共享的“云记录中包含的内容以及即时消息，文件，白板”，其中包括视频和成绩单。

在审查过程中，本周Zoom对该政策进行了一些更改。该公司现在以粗体，斜体字表示： “ Zoom不会将客户的内容出售给任何人或用于任何广告目的。” 可以肯定的是，这是一个受欢迎的变化。

但是，隐私政策本身似乎只是冰山一角。副主板副总裁周五发表的一项调查发现，Zoom iOS应用程序与Facebook共享使用情况数据，即使没有Facebook帐户的用户也是如此。根据Motherboard的说法，Zoom正在发送Facebook数据，显示用户打开应用程序的时间，使用该应用程序的设备的详细信息，用户连接所在的时区和城市，有关用户通过其连接的移动网络的信息以及用于在应用之间跟踪设备的唯一广告客户编号。

收到该报告后，Zoom 在星期五更新了该应用程序以切断该功能，并说：“我们最初使用Facebook SDK实施了“使用Facebook登录”功能，以便为我们的用户提供另一种便捷的方式来访问我们的平台。但是，我们最近得知Facebook SDK正在收集不必要的设备数据。”

但是，该公司仍面临着来自加利福尼亚州原告的诉讼。寻求集体诉讼身份的诉讼（PDF）声称Zoom违反了1月1日生效的《加利福尼亚消费者隐私法案》（CCPA），认为Zoom“未能适当保护日益增长的数百万用户的个人信息软件应用程序。”

更糟糕的是，旨在简化企业用户连接的功能似乎正在泄漏某些Zoom用户的个人联系信息。同样由Vice Motherboard撰写的今天的一份报告发现，从同一电子邮件域注册的用户会自动添加到彼此的联系人列表中。对于工作场所而言，这很有意义：如果两个用户都使用@ arstechnica.com电子邮件地址进行注册，那么我们为同一位雇主工作的可能性很大，并且出于工作目的需要互相交谈。商家的联系人会定期以这种方式填充到Zoom中。

用户注册个人电子邮件地址，然而，也有相同的域的其他用户共享他们的信息。一位用户与Motherboard共享了一个屏幕快照，该屏幕快照显示了“公司目录”中列出的将近1000个其他用户（对他来说都是陌生人）。公司目录中排除了一些广泛使用的域，包括gmail.com，yahoo.com和hotmail.com 。但是，个人使用的较小域名似乎不在排除列表中。

违约？

Zoom 承诺为创建会议的主持人提供一系列保护措施。该列表的顶部是用户可以“使用端到端加密确保会议安全”的承诺。听起来不错！不幸的是，它可能也不完全正确。

The Intercept 今天发布的一份报告发现，该说法可能具有误导性。Zoom没有提供音频和视频的端到端加密，而是提供了稍微不同的东西，称为传输加密。

当Intercept向Zoom询问其加密功能时，一位发言人直截了当地回答说他们做不到。发言人说：“当前，无法为Zoom视频会议启用E2E加密。Zoom视频会议使用TCP和UDP的组合。TCP连接使用TLS进行，而UDP连接则使用AES进行加密。通过TLS连接协商的密钥。”

如果对数据进行了真正的端到端加密，则只有其两端的用户才能访问它。但是，根据其实际使用的TLS加密，Zoom本身可以访问在会议中来回流动的内容。

该公司向《 The Intercept》强调，它没有这样做，在一份声明中说：

Zoom采取了分层保护措施，以保护我们用户的隐私，其中包括防止任何人（包括Zoom员工）直接访问用户在会议期间共享的任何数据，包括但不限于这些会议的视频，音频和聊天内容。重要的是，Zoom不会挖掘用户数据或将任何类型的用户数据出售给任何人。

但是，如果可以访问数据，则可以强制Zoom与政府或执法部门共享数据。与许多其他技术和社交媒体平台不同，Zoom 不会发布有关其可能收到的移除和执法要求的透明度报告。

所有这些报告加在一起，至少引起了一个法律机构的关注：纽约州总检察长莱蒂蒂亚·詹姆斯（Letitia James）办公室目前正在调查Zoom的隐私和安全做法。

《纽约时报》从詹姆士办公室致信Zoom，表示担心“ Zoom的现有安全做法可能不足以适应最近和突然通过其网络传输的数据量和敏感度激增的情况。” 当公司迅速对特定漏洞进行迅速响应时，这些漏洞在媒体报道中广为人知，但总检察长办公室“希望了解Zoom是否已对其安全实践进行了更广泛的审查。”

该公司在一份声明中说：“ Zoom非常重视用户的隐私，安全和信任。” “我们感谢纽约总检察长在这些问题上的参与，并很高兴为她提供所要求的信息。”