Forbyr ansatte å bruke populær videokonferanse-tjeneste

Videokonferanseselskapet Zoom er i hardt vær etter en rekke sikkerhetsavsløringer den siste uken. Flere amerikanske selskaper forbyr de ansatte å bruke tjenesten.

Zoom

VOLDSOM VEKST: En spansk skoleelev følger undervisningen sammen med resten av klassen sin via Zoom. Brukermassen av tjenesten har tjuedoblet seg siden desember i fjor.

Foto: Albert Gea / Reuters

Denne artikkelen er over en måned gammel, og kan inneholde utdaterte råd fra myndighetene angående koronasmitten.

Hold deg oppdatert i NRKs oversikt, eller gjennom FHIs nettsider.

Etter at store deler av verden stengte ned og mange ansatte har blitt forvist til hjemmekontor, har videokonferanser fått et massivt oppsving.

En rekke selskaper, norske og utenlandske, har opplevd brukervekst ettersom flere og flere møter foregår digitalt.

Men med digital kommunikasjon kommer også behovet for sikkerhet.

En rekke sikkerhetshull

Den amerikanske nettvideotjenesten Zoom har vokst voldsomt i popularitet siden årsskiftet. Fra å ha 10 millioner daglige brukere i desember i fjor, brukes tjenesten nå hver dag av 200 millioner mennesker, ifølge selskapet.

Også i Norge benyttes tjenesten av bedrifter og utdanningsinstitusjoner.

Men den siste uken ha tjenesten fått mye omtale for sin behandling av brukerdata og sikkerhet.

Det amerikanske nyhetsnettstedet Vice kunne først avsløre at selskapets app for iPhone sendte informasjon om brukerne til Facebook, uten at dette gikk fram av brukervilkårene og selv om brukeren ikke hadde Facebookkonto.

Zoom og den britiske regjeringen

POPULÆRT: Zoom ble så sent som denne uken brukt av den britiske regjeringen siden statsminister Boris Johnson (øverst til venstre) sitter i isolasjon.

Foto: Pippa Fowles / AFP

Zoom oppdaterte mobilappen kort tid etter og fjernet koden som innhentet data.

Tirsdag kunne nettstedet The Intercept avsløre at kommunikasjonen gjennom appen ikke var kryptert fra bruker til bruker, slik selskapet selv hevdet. En talsperson for selskapet bekreftet overfor nettstedet at informasjonen kun er kryptert mellom brukeren og Zooms servere.

Selskapet la til at deres ansatte ikke har tilgang til tekstmeldinger som sendes via tjenesten.

Kan stjele passordet

Samme dag kunne Vice fortelle at brukere av tjenesten hadde opplevd å få tusenvis av ukjente personer opp i firmakontaktlisten sin.

– Jeg ble sjokkert. Jeg meldte meg inn i tjenesten og oppdaget 995 ukjente personer med navn, bilde og e-postadresse, forteller Barend Gehrels til nettstedet.

Selskapet forklarer at alle med samme domene i e-post-adressen automatisk kobles til samme selskap. Unntaket er dersom man har privat e-post-adresse hos store tilbydere som Gmail, Hotmail og Yahoo.

Nederlandske Gehrels hadde en privatadresse fra sin nasjonale internettleverandør XS4ALL, og siden denne tjenesten ikke var registrert hos Zoom, ble alle med dette e-post-domenet ansett for å jobbe i samme firma.

Onsdag fant nettstedet Bleeping Computer nok en svakhet i tjenesten som kunne føre til at personer med onde hensikter kunne stjele innloggingsinformasjonen til brukeren som klikket på en spesiell lenke.

Zoom bekreftet overfor nettstedet at de kjenner til svakheten og jobber med å utbedre den.

FBI advarer – Elon Musk forbyr

Rekken av avsløringer har nå ført til at flere amerikanske selskaper forbyr de ansatte å bruke tjenesten fra Zoom.

Elon Musks romfartsselskap SpaceX sendte i helgen ut en intern e-post hvor de forbyr sine ansatte å bruke Zoom, melder nyhetsbyrået Reuters.

«Vi har blitt kjent med at mange av oss bruker dette verktøyer for konferanser og møtestøtte. Vennligst bruk e-post, tekstmeldinger og telefon som alternative kommunikasjonsformer», heter det i advarselen.

Også den amerikanske romfartsorganisasjonen Nasa har forbudt sine ansatte å bruke Zoom, bekrefter en talskvinne.

Mandag gikk det amerikanske føderale politiet FBI ut med en advarsel om å ikke arrangere åpne møter eller spre lenker til møter, etter flere tilfeller av uvedkommende som har kommet seg inn i nettundervisning.

Fenomenet har allerede fått navnet «zoombombing». Onsdag fortalte BBC om en jødisk gudstjeneste som ble oversvømt av antisemittiske meldinger fra personer som hadde funnet møtelenken på synagogens nettsider.

Riksadvokaten i New York sendte mandag et brev til Zoom hvor de ber dem utdype hva slags sikkerhetstiltak de har satt i verk for å håndtere den massive veksten, skriver The New York Times.

NorSIS vil ikke fraråde

Vidar Sandland, Norsis

KRYPTERING: De som trenger ende-til-ende-kryptering bør velge en annen tjeneste, mener Vidar Sandland i NorSIS.

Foto: Jan Tore Øverstad/NorSIS

På nettsiden Nettvett har Norsk senter for informasjonssikring (NorSIS), Nasjonal sikkerhetsmyndighet og Nasjonal kommunikasjonsmyndighet laget en veileder for bedrifter som benytter seg av videokonferanse i disse dager.

På oversikten over tjenester som kan brukes, er Zoom listet opp. Inntil onsdag oppga nettsiden at Zoom hadde ende-til-ende-kryptering, men det er nå oppdatert med den nye informasjonen.

– De har reklamert for noe de ikke tilbyr. For dem som har behov for ende-til-ende-kryptering, er det veldig uheldig dersom dette var forutsetningen for at de tok i bruk tjenesten, sier seniorrådgiver i NorSIS Vidar Sandland til NRK.

Uten ende-til-ende-kryptering kan i teorien amerikanske myndigheter få innsyn i samtalene.

– Vi har et generelt råd om ikke å benytte chattefunksjoner til utveksling av sensitive opplysninger da samtalene ofte mellomlagres og kan bli liggende på videotjenesteleverandørens server, sier Sandland.

NorSIS mener likevel at Zoom er trygt for vanlige brukere å benytte seg av, og vil ikke fraråde folk fra å bruke tjenesten.

– For de de fleste vanlige brukere, som ikke har ende-til-ende-kryptering som krav, så vil det ikke være problematisk å bruke tjenesten, sier Sandland.

Vil rydde opp

I et blogginnlegg skriver Zoom-sjef Eric S. Yuan at de nå setter all videreutvikling av tjenesten på vent for å rydde opp i sikkerhetsutfordringene knyttet til tjenesten.

– De neste 90 dagene vil vi bruke ressursene våre på å identifisere og utbedre disse tingene. Vi vil også være åpne om prosessen underveis, skriver Yuan.

Insider Q&A Zoom CEO Eric Yuan

IKKE FORBEREDT: Zoom-sjef Eric Yuan sier de ikke var forberedt på den massive brukerveksten av tjenesten.

Foto: Mark Lennihan / AP

Han sier selskapet ble tatt på senga av den voldsomme eksplosjonen av brukere.

– Denne tjenesten ble laget for næringslivet. Den ble ikke laget med utgangspunkt i at mennesker verden over plutselig skulle jobbe, studere og sosialisere hjemmefra. Vi har nå en mer variert brukermasse som benytter tjenesten på måter vi ikke hadde forutsett. Dette gir oss utfordringer vi ikke så for oss da tjenesten ble laget, forklarer han videre.

Naken mann dukket opp

Også norske leverandører av videokonferanser har hatt uønskede opplevelser. I forrige uke fortalte NRK om at en naken mann med erigert penis klarte å bryte seg inn i hjemmeundervisningen til en gruppe niåringer som brukte den norske tjenesten Whereby.

Selskapet tror mannen trolig har klart å gjette seg fram til riktig nettlenke.

Zoom brukes av universiteter og høyskoler i Norge. Det er Uninett som drifter tjenesten for utdanningsinstitusjonene.

I en epost til NRK presiserer avdelingsdirektør Vidar Faltinsen at Zooms offentlige tjeneste skiller seg fra den versjonen av programvaren som de tilbyr.

– Vår tjeneste har servere i Norden, og er regulert gjennom en nordisk avtale med Nordunet. Databehandleravtaler og etterlevelse av personvernlovgivning er en selvfølge for oss, skriver Faltinsen.

OPPDATERT 3. APRIL: Kommentar fra Uninett lagt inn i saken.

Status Norge

Sist oppdatert: 30.05.2020
8425
Smittet
28
Innlagt
237
Døde

AKTUELT NÅ

SISTE NYTT

Siste meldinger