मुख्य तथ्य
- यू.एस. फेडरल ट्रेड कमिशन ने 9 नवंबर को घोषणा की कि वह ज़ूम के साथ समझौता कर चुका है, यह आरोप लगाने के बाद कि उसने सुरक्षा के बारे में उपयोगकर्ताओं को गुमराह किया है।
- निपटान के लिए ज़ूम को "व्यापक सुरक्षा कार्यक्रम" लागू करने की आवश्यकता है।
- ज़ूम का कहना है कि उसने पहले ही मुद्दों का समाधान कर लिया है, और हाल ही में घोषणा की है कि वह एंड-टू-एंड एन्क्रिप्शन पेश करेगा।
लोकप्रिय कॉन्फ्रेंसिंग प्लेटफॉर्म जूम अमेरिकी संघीय व्यापार आयोग (एफटीसी) के साथ समझौते के तहत अपनी सुरक्षा प्रथाओं को मजबूत कर रहा है, एजेंसी के आरोपों के बाद कि इसने उपयोगकर्ताओं को सुरक्षा के स्तर के बारे में गुमराह किया है।
ज़ूम कुछ ही महीनों में एक घरेलू नाम बन गया है, दुनिया ने अपने वीडियो कॉन्फ्रेंसिंग प्लेटफॉर्म की ओर रुख कर लिया है क्योंकि महामारी गंभीर रूप से व्यक्तिगत बैठकों को सीमित कर रही है। हालांकि, एक FTC शिकायत ने आरोप लगाया कि ज़ूम "भ्रामक और अनुचित प्रथाओं की एक श्रृंखला में शामिल है जिसने अपने उपयोगकर्ताओं की सुरक्षा को कम कर दिया है।"
इस साल की शुरुआत में सुरक्षा विशेषज्ञों की जांच के बाद, जिन्होंने पाया कि प्लेटफ़ॉर्म मार्केटिंग दावों के बावजूद एंड-टू-एंड एन्क्रिप्शन का उपयोग नहीं कर रहा था। ज़ूम ने लोकप्रियता में वृद्धि के दौरान अन्य सुरक्षा मुद्दों को भी देखा है, जैसे कि अवांछित प्रतिभागियों ने "ज़ूमबॉम्बिंग" नामक अभ्यास में बैठकों को दुर्घटनाग्रस्त कर दिया। FTC समझौते के हिस्से के रूप में, ज़ूम ने "व्यापक सुरक्षा कार्यक्रम" लागू करने के लिए प्रतिबद्ध किया है।
"महामारी के दौरान, व्यावहारिक रूप से हर कोई-परिवार, स्कूल, सामाजिक समूह, व्यवसाय-संचार करने के लिए वीडियोकांफ्रेंसिंग का उपयोग कर रहा है, जिससे इन प्लेटफार्मों की सुरक्षा पहले से कहीं अधिक महत्वपूर्ण हो गई है," एफटीसी के उपभोक्ता ब्यूरो के निदेशक एंड्रयू स्मिथ सुरक्षा एजेंसी की प्रेस विज्ञप्ति में कहती है।
"ज़ूम की सुरक्षा प्रथाएं अपने वादों के अनुरूप नहीं थीं, और इस कार्रवाई से यह सुनिश्चित करने में मदद मिलेगी कि ज़ूम मीटिंग और ज़ूम उपयोगकर्ताओं के बारे में डेटा सुरक्षित है।"
सरकारी जांच
FTC शिकायत में आरोप लगाया गया है कि ज़ूम ने अपने उपयोगकर्ताओं को सुरक्षा संबंधी कई मुद्दों के बारे में गुमराह किया, जिनमें से सबसे महत्वपूर्ण एंड-टू-एंड एन्क्रिप्शन के बारे में किए गए दावों से संबंधित है।
यह कहा गया है कि ज़ूम 2016 से ज़ूम कॉल के लिए एंड-टू-एंड, 256-बिट एन्क्रिप्शन की पेशकश करने का दावा कर रहा है, लेकिन वास्तव में निम्न स्तर की सुरक्षा प्रदान करता है। जब एंड-टू-एंड एन्क्रिप्शन सक्षम होता है, तो केवल कॉल या चैट में भाग लेने वालों के पास सूचनाओं का आदान-प्रदान होता है-ज़ूम, सरकार या किसी अन्य पार्टी के पास नहीं।
इसके अलावा, शिकायत में आरोप लगाया गया है कि जूम ने अपने सर्वर पर 60 दिनों तक रिकॉर्डेड, अनएन्क्रिप्टेड मीटिंग्स को स्टोर किया, जब उसने अपने कुछ यूजर्स से कहा था कि उन्हें तुरंत एन्क्रिप्ट किया जाएगा।
दूसरा मुद्दा ज़ूमओपनर नामक मैक सॉफ़्टवेयर से संबंधित है, जो ज़ूम को हटाते समय भी उपयोगकर्ताओं के कंप्यूटर पर बना रहता है और उन्हें हैकर्स के लिए असुरक्षित बना सकता है। "इस सॉफ़्टवेयर ने एक सफारी ब्राउज़र सुरक्षा सेटिंग को दरकिनार कर दिया और उपयोगकर्ताओं को जोखिम में डाल दिया-उदाहरण के लिए, यह अजनबियों को अपने कंप्यूटर के वेब कैमरों के माध्यम से उपयोगकर्ताओं की जासूसी करने की अनुमति दे सकता था," FTC उपभोक्ता शिक्षा विशेषज्ञ, अल्वारो पुइग, एक ब्लॉग पोस्ट में बताते हैं।
ज़ूम की प्रतिक्रिया
जबकि जूम ने हाल ही में एफटीसी शिकायत का निपटारा किया है, कंपनी ने लाइफवायर को एक ईमेल में बताया कि उसने मुद्दों को "पहले ही संबोधित" कर दिया है।
"हमारे उपयोगकर्ताओं की सुरक्षा ज़ूम के लिए सर्वोच्च प्राथमिकता है," कंपनी के प्रवक्ता ने एक ईमेल में लाइफवायर को बताया। जूम ने एफटीसी के आरोपों का जवाब देने के लिए कई कदम उठाए हैं, जिसमें अप्रैल में 90-दिवसीय योजना का शुभारंभ शामिल है, जिसमें गोपनीयता और सुरक्षा से संबंधित 100 से अधिक विशेषताएं शामिल हैं।
जूम ने अक्टूबर के अंत में एंड-टू-एंड एन्क्रिप्शन की शुरुआत की, जो कि मई में कीबेस नामक कंपनी के अधिग्रहण से संभव हुआ। एंड-टू-एंड एन्क्रिप्शन अभी भी ज़ूम "तकनीकी पूर्वावलोकन" मोड में है, और कंपनी का कहना है कि ज़ूम के सर्वर के पास एन्क्रिप्शन कुंजी तक पहुंच नहीं है। अभी के लिए, कुछ सुविधाएं एंड-टू-एंड एन्क्रिप्शन मोड में प्रतिबंधित हैं, जिसमें होस्ट और ब्रेकआउट रूम से पहले मीटिंग में शामिल होने की क्षमता शामिल है।
ज़ूम के एंड-टू-एंड एन्क्रिप्शन का उपयोग कैसे करें
बर्मिंघम में अलबामा विश्वविद्यालय के कंप्यूटर विज्ञान के प्रोफेसर नितेश सक्सेना का कहना है कि एक सच्चे एंड-टू-एंड एन्क्रिप्शन सिस्टम को लागू करने के लिए ज़ूम का प्रयास "सही दिशा में कदम" है, लेकिन ध्यान दें कि अभी भी काम करना बाकी है।
"ऐसे महत्वपूर्ण मुद्दे हैं जिन्हें संबोधित करने की आवश्यकता है इससे पहले कि वास्तव में सुरक्षा का स्तर प्रदान किया जा सके जो उपयोगकर्ता ज़ूम कॉल से मांग कर सकते हैं," वे कहते हैं।
सक्सेना, जिन्होंने ज़ूम की सुरक्षा का बड़े पैमाने पर अध्ययन किया है, का कहना है कि इसकी एंड-टू-एंड एन्क्रिप्शन पद्धति की सुरक्षा अंततः मीटिंग प्रतिभागियों की क्रिप्टोग्राफ़िक कुंजियों को मान्य करने के लिए उपयोग की जाने वाली प्रक्रिया पर निर्भर करती है।).
ऐसे में यूजर्स मीटिंग शुरू करने से पहले खुद इसकी जांच कर लेते हैं। जूम के एंड-टू-एंड एन्क्रिप्शन प्रोटोकॉल के पहले चरण में, मीटिंग होस्ट 39-अंकीय कोड पढ़ता है जिसे दूसरों को अपनी स्क्रीन पर देखना चाहिए।
ज़ूम की सुरक्षा प्रथाएं अपने वादों के अनुरूप नहीं थीं, और इस कार्रवाई से यह सुनिश्चित करने में मदद मिलेगी कि ज़ूम मीटिंग और ज़ूम उपयोगकर्ताओं के बारे में डेटा सुरक्षित है।
सक्सेना और उनकी टीम के शोध के अनुसार, यह दृष्टिकोण मानवीय त्रुटि के लिए प्रवण हो सकता है यदि कोई ध्यान नहीं दे रहा है और गलती से एक कोड स्वीकार कर लेता है जो पूरी तरह से मेल नहीं खाता या प्रक्रिया को छोड़ देता है।
साथ ही, मीटिंग होस्ट और प्रतिभागियों को यह सुनिश्चित करना चाहिए कि मीटिंग शुरू करने से पहले वे एंड-टू-एंड एन्क्रिप्शन सक्षम करें, क्योंकि यह डिफ़ॉल्ट रूप से चालू नहीं होता है। सक्सेना के शोध में यह भी पाया गया कि ज़ूम जिस प्रकार के संख्यात्मक कोड का उपयोग कर रहा है, वह भी एक निश्चित प्रकार के हमले के लिए प्रवण हो सकता है।
इसलिए, ज़ूम उपयोगकर्ता कुछ राहत महसूस कर सकते हैं कि प्लेटफ़ॉर्म ने पहले ही FTC शिकायत द्वारा उठाए गए मुख्य सुरक्षा मुद्दों को संबोधित किया है, और अब एंड-टू-एंड एन्क्रिप्शन का पहला चरण प्रदान करता है।हालांकि, कॉन्फ़्रेंस प्रतिभागियों को पता होना चाहिए कि नए एंड-टू-एंड एन्क्रिप्शन मोड का सही ढंग से उपयोग करने के लिए कॉल की शुरुआत में कोड सत्यापन प्रक्रिया का समय होने पर अतिरिक्त ध्यान देने की आवश्यकता होती है।
