Een Facebook gebruiker vroeg of Zoom veilig was, omdat ze pas uit een meeting was gegooid onder de kreet “Zoom bomb! Zoom bomb!” Mijn antwoord werd wat lang dus ik bewaar het ook maar als een notitie want ik krijg die vraag vaker. 

De gebruiker werd dus uit de meeting gegooid en vroeg zich af waarom. Nu heb ik onlangs iemand verbannen door hem de wachtkamer uit te schoppen. Ik herkende de naam niet en dacht “Eindelijk! Mijn Zoomsessie wordt ook eens gehackt”. Even later kreeg ik een appje, hij was uitgenodigd maar gebruikte op Zoom een andere naam ‘uit privacyoverwegingen’. Ik had hem dus niet herkend. Tip: informeer de host als je iets raars met je naam doet. Of nog beter: doe niet raar met je naam, dat helpt helemaal niet. 

ISSUE 1: *SOLVED* In het verleden waren de standaard zoominstellingen na installatie volledig open. Zoom werkte onmiddellijk voor iedereen die het installeerde en het uitprobeerde. Het werkte net als een telefoon: geen gedoe met wachtwoorden, je draait een nummer en wordt verbonden met iemand die zijn telefoon aan heeft staan. Is diegene al in gesprek, dan kun je aan dat gesprek worden toegevoegd (‘joinen’). Een wachtwoord was optioneel, wat dus gewijzigd is na meldingen van ongewenste deelnemers aan meetings. Mensen belden maar in en omdat niemand de moeite nam om een paswoord in te stellen of de Waiting Room te enablen, konden ze midden in een call binnenvallen.

Er is nu bij elk gesprek een wachtwoord nodig. Het wachtwoord kan onderdeel worden gemaakt van een gecodeerde link, zodat het net zo probleemloos werkt als vroeger. Maar in dit scenario moet je het bewust zo configureren, zodat je niet argeloos overvallen kunt worden.

ISSUE 2: *SOLVED* In het verleden was het optionele wachtwoord gewoon een leesbare tekstparameter in de link. ‘Hackers’ snuffelden of zochten naar zoomlinks met leesbare paswoorden, die mensen soms gewoon op sociale media deelden. Bij gebruikers die het wachtwoord niet per vergadering aanpassen kun je met dat die link/paswoord combinatie altijd proberen in te bellen, misschien zitten ze net in een meeting en mag je erbij. Dit stelde onbekenden in staat om deel te nemen aan vergaderingen en een (naat mijn idee vrij onschuldige) show neer te zetten.
De meest verwoestende voorstelling waar ik van hoorde, was dat een groepje studenten een pornovideo te zien kreeg. Althans, dat vertelden ze de mentor die ze had betrapt. Ik weet niet wat er waar van is maar het kan natuurlijk heel verontrustend of shockerend zijn wat iemand doet, zegt of toont. Hoe dan ook, het was duidelijk dat er een aantal strengere privacystandaarden nodig waren. Vooral omdat…

ISSUE 3: *SOLVED* er ook een optie is voor “Bureaublad op Afstand” of “Remote Control” of “Remote Assistance”, Remote Desktop of hoe je het ook wil noemen in Zoom. De host kan deelnemers de rechten geven waardoor ze kunnen vragen om een systeem over te nemen. Ze bedienen dan jouw muis en keyboard. Een andere gebruiker kan zo dus toestemming vragen om jouw systeem over te nemen. Je krijgt dan een melding met het het verzoek om je systeem over te laten nemen. Als je dat vervolgens toestaat  – ben je dus gehacked!!!! (zo vertelde iemand het mij althans, ontsteld omdat ze dan gewoon bij je bestanden kunnen! ).

Dus als alle poorten open staan, kan een ongenode deelnemer aan de vergadering, binnengekomen dankzij slordig paswoordgebruik, vragen om een ​​scherm van een andere deelnemer over te nemen. Vervolgens zou die deelnemer de hacker per ongeluk kunnen toestaan ​​de controle over zijn/haar apparaat over te nemen door zomaar OK te geven op “Toestaan ​​dat [naam] de controle over uw systeem overneemt”. Vervolgens bevriest zo iemand uiteraard in totale paniek terwijl hun harde schijf wordt gewist en hun computer in brand gestoken! Ze kunnen niets doen!!! Hadden ze maar geweten dat je de controle alweer terugpakt door op het scherm te klikken.

Tot dusver komt het allemaal neer op verstandig computergebruik. Naarmate Zoom serieuzer werd gebruikt door bedrijven, werden deze ‘beveiligingsinbreuken’ een probleem. De gemiddelde werknemer bij een groot bedrijf is van een ander slag dan de individuele vroege gebruiker van nieuwe communicatiesoftware – en het vaak grote netwerk dat daaraan hangt loopt dan ook risico.

Dat is dus allemaal opgelost, maar de reputatie is beschadigd, vooral voor grote bedrijven en hun beveiligingsafdelingen die zichzelf belangrijker kunnen maken door negatieve uitspraken te doen die niemand begrijpt en allerlei dingen verbiedt ‘voor onze eigen veiligheid’ (ik zie een sterke parallel met de corona-crisis hier).

ISSUE 4: *SOLVED* Een andere, ernstiger punt was dat Zoom beweerde dat ze peer-to-peer-encryptie gebruikten. Dat betekent dat het niet mogelijk is om de communicatie tussen de gebruiker en de server aan te boren. Terwijl dat op zich wel waar was, werd alle inkomende communicatie gedecodeerd en verwerkt op hun servers, waarna deze opnieuw werd gecodeerd en naar de andere ‘peer’ werd gestuurd. Dus beide ‘ends’ waren wel encrypyed, maar niet end-to-end.
Dit maakte het theoretisch mogelijk voor Zoom om alles te analyseren dat hun server is gepasseerd. Er zijn overigens geen tekenen dat dit ook gebeurd is.
Zodra iemand dit ontdekte (Zoom verscheen ook op de radar van bepaalde grote spelers, die niet zo blij waren met de snelle opkomst van Zoom), kondigden ze in een white paper met road map aan dat dit snel zou worden opgelost. Het maakte geen deel uit van hun business model, zoals wel het geval is met veel andere ‘gratis’ services. Na verschillende patches en updates ga ik ervan uit dat het nu is opgelost. Het witboek is van een paar maanden geleden.

Ik moet zeggen dat ik het de laatste tijd niet heb gevolgd, ik heb het te druk gehad met de corona-zwendel en het ondersteunen van mijn klanten. En in feite was ik tevreden toen ik het slordige gedrag van de gehackte gebruikers zag. Je kunt het vergelijken met een router die wordt geleverd zonder een standaard sterk wachtwoord: als je het niet configureert, is het alsof je inbrekers uitnodigt door ’s nachts je voordeur open te laten.

Ik heb nog nooit van nieuwe inbreuken gehoord en voor mezelf vond ik het prima om Zoom te gebruiken nadat ik al het bovenstaande had ontdekt, nog voordat het was verholpen. Ik heb eerlijk gezegd niet veel meer vertrouwen in diensten als Google Meets, FaceTime, Skype, Facebook, Gmail, Dropbox, Messenger, Whatsapp, Google Drive etc. etc., waar we onze informatie ook opslaan, back-uppen, verzenden of sms’en.

Wees altijd oplettend, gebruik een wachtwoordmanager, forceer overal sterke wachtwoorden en houd je software up-to-date. Gebruik een VPN en versleutelde bestanden of versleutelde lokale harde schijf voor geheime informatie.

SHORT ANSWER: Yes Zoom is safe to use.