Durante os estágios iniciais da pandemia, o software de videoconferência registrou downloads recordes, embora nenhuma empresa tenha experimentado o crescimento maciço e o fluxo de novos usuários que o Zoom teve, o Zoom foi muito criticado principalmente relacionado a privacidade e segurança dele.
A demanda repentina e crescente nos sistemas da empresa foi diferente de tudo o que a maioria das empresas já experimentou, e é por isso que o Zoom recorreu ao Oracle Cloud, além da AWS, para ajudar a atender a esse aumento na demanda. No entanto, ainda existiam preocupações com privacidade e segurança, e é por isso que o CEO da empresa, Eric S. Yuan, anunciou um congelamento de 90 dias em todos os novos recursos não relacionados à privacidade, proteção ou proteção.
O programa de 90 dias de Zoom chegou ao fim e, hoje, Yuan lançou um novo post no qual refletiu sobre as mudanças e melhorias que a empresa fez durante esse período para melhorar a privacidade e a segurança de sua plataforma de videoconferência.
Essas mudanças incluem a realização de uma revisão abrangente de seus sistemas com especialistas terceirizados, a preparação de um relatório de transparência, a melhoria do programa de recompensas por bugs, o lançamento de um conselho da CISO, a realização de testes de penetração de caixa branca e a hospedagem de um webinar semanal para fornecer atualizações de privacidade e segurança a seus clientes. comunidade.
Revisão de segurança e privacidade
Durante seu programa de 90 dias, a Zoom trabalhou com um grupo de especialistas de terceiros para revisar e fazer aprimoramentos em seus produtos, práticas e políticas. A empresa também lançou um conselho CISO composto por 36 CISOs do SentinelOne, Arizona State University, HSBC, Sanofi e outras organizações. O conselho do CISO se reuniu quatro vezes nos últimos três meses e aconselhou a Zoom em vários assuntos importantes, incluindo seleção de data center regional, criptografia, autenticação de reunião e recursos como Informar um Usuário, Senhas e Salas de Espera.
O Zoom também trabalhou para aprimorar seu atual programa de recompensas de bugs, desenvolvendo um Repositório Central de Bugs que agrega relatórios de vulnerabilidade do HackerOne, Bugcrowd e security@zoom.us. A empresa também contratou um Chefe de Vulnerabilidade e Bug Bounty, vários engenheiros da appsec adicionais e está em processo de contratação de mais engenheiros de segurança.
A Zoom pediu que várias empresas, incluindo a Trail of Bits, o NCC Group e o Bishop Fox, revisassem toda a sua plataforma. Essas organizações analisaram o ambiente de produção da Zoom, seu principal aplicativo Web e rede corporativa e sua API pública para seus clientes móveis e de desktop.
Embora o congelamento de recursos de 90 dias possa ter terminado para o Zoom, a privacidade e a segurança são prioridades contínuas para a empresa, de acordo com Yuan, e as medidas adotadas podem servir de orientação para qualquer organização que pretenda melhorar a privacidade e a segurança de sua plataforma.
