Com as medidas de distanciamento social e quarentena implementadas em todo o mundo, as pessoas rapidamente começaram a procurar meios eficazes de comunicação. Com sua conhecida facilidade de uso e preços atraentes, o Zoom rapidamente ganhou popularidade – e os usuários também descobriram logo que seus desenvolvedores não estavam totalmente preparados para o nível de escrutínio que receberiam.
Com o crescimento da demanda, as falhas do Zoom apareceram em larga escala. A empresa lidou com o tremendo aumento do workload de maneira fácil e rápida e reagiu prontamente às descobertas dos pesquisadores de segurança. No entanto, assim como em todo e qualquer serviço, as atualizações de código não corrigem todas as reclamações, mas é importante ter em mente alguns problemas. Então, aqui oferecemos 10 dicas de segurança e privacidade para usuários do Zoom.
1. Proteja sua conta
Uma conta do Zoom é apenas mais uma conta e, ao configurar a sua, você deve aplicar os conceitos básicos de cibersegurança para proteger suas informações. Use uma senha forte e exclusiva e habilite a autenticação de dois fatores, o que a torna mais difícil de invadir e melhor protegida, mesmo que os dados da sua conta vazem (embora até o momento isso não tenha acontecido).
Há pelo menos mais um ponto de atenção específico do Zoom: depois de se registrar, além de seu login e senha, você obtém um ID de reunião pessoal. Evite torná-lo público. E como o Zoom oferece uma opção para criar reuniões públicas com seu ID de reunião pessoal, é muito fácil vazar esse ID. Se for descoberto, qualquer pessoa pode participar das suas reuniões, portanto compartilhe essas informações com prudência.
2. Use seu e-mail corporativo para se registrar no Zoom
Uma falha estranha no Zoom (que ainda não foi corrigida) faz com que o serviço considere e-mails do mesmo domínio – a menos que seja um domínio realmente comum, como @gmail.com ou @yahoo.com – como pertencentes a uma empresa, e assim compartilhe seus detalhes de contato com cada membro desse grupo. Por exemplo, isso aconteceu com usuários que registraram contas do Zoom usando e-mails que terminam com @yandex.kz, que é um serviço público no Cazaquistão, e tende a se repetir com provedores menores.
Portanto, para se registrar no Zoom, use seu e-mail corporativo. Compartilhar seus detalhes de contato do trabalho com seus colegas reais não deve ser um grande problema. Se você não tiver um e-mail comercial, use uma conta separada com um domínio público conhecido para manter seus dados de contato pessoais em sigilo.
3. Não caia em apps fakes Zoom
Como descoberto pelo pesquisador de segurança da Kaspersky Denis Parinov, em março, o número de arquivos maliciosos que incorporaram os nomes de serviços populares de videoconferência (Webex, GoToMeeting, Zoom e outros) em seus nomes de arquivos praticamente triplicou em comparação com os números encontrados no mesmo período do ano passado. Isso provavelmente significa que os cibercriminosos estão mudando seus golpes com base na popularidade do Zoom e de outros aplicativos, tentando disfarçar o malware como clientes de videoconferência.
Não caia nessa! Use o site oficial do Zoom – zoom.us – para baixar o Zoom com segurança para Mac e PC e acesse a App Store ou o Google Play para seus dispositivos móveis.
4. Não use mídias sociais para compartilhar links de conferências
Às vezes, você deseja promover um evento e, em muitos lugares, as lives e webinars são o único tipo de evento público possível atualmente; portanto, o Zoom está atraindo cada vez mais pessoas. Mas mesmo que seu evento seja realmente aberto a todos, evite compartilhar o link nas mídias sociais.
Se você sabia alguma coisa sobre o Zoom antes de ler esta postagem, provavelmente já ouviu falar sobre o chamado Zoombombing. É o termo Techcrunch, cunhado pelo jornalista Josh Constine para descrever trolls que interrompem as reuniões do Zoom com conteúdo ofensivo. No momento, vários bate-papos no Discord e tópicos no 4Chan (ambos populares entre os trolls) estão discutindo alvos para seus próximos ataques.
Onde os trolls conseguem informações sobre os próximos eventos? É isso mesmo, eles os encontram nas mídias sociais. Portanto, evite postar publicamente links para reuniões do Zoom. Se, por algum motivo, você ainda quiser, certifique-se de não ativar a opção Usar identificação de reunião pessoal.
5. Proteja toda reunião com uma senha
A configuração de uma senha para sua reunião continua sendo o melhor meio de garantir que apenas as pessoas que você deseja na sua reunião possam participar. Recentemente, o Zoom ativou a proteção por senha – uma boa iniciativa. Considerando isso uma boa prática de cibersegurança, não confunda a senha da reunião com a senha da sua conta Zoom. E, assim como nos links para as videoconferências, as senhas para reuniões nunca devem ser divulgadas nas mídias sociais ou em outros canais públicos, ou seus esforços para proteger sua ligação contra trolls serão em vão.
6. Ative a Sala de Espera
Outra configuração que oferece mais controle sobre a reunião, a Sala de espera – recentemente já ativada por padrão – faz com que os participantes esperem em uma “sala de espera” até que o moderador aprove cada um deles. Isso permite que você controle quem entra na sua reunião, mesmo que alguém que não deveria participar de alguma forma tenha a senha. Também permite expulsar uma pessoa indesejada da reunião – e entrar na sala de espera. Recomendamos deixar esta opção marcada.
7. Fique atento às opções de compartilhamento de tela
A maioria dos aplicativos de videoconferência têm a funcionalidade de compartilhamento de tela – a capacidade de um participante mostrar sua tela para os outros – e o Zoom não é exceção. Algumas configurações que valem a pena ficar de olho:
- Limitar a funcionalidade de compartilhamento de tela ao host ou estendê-lo a todos na chamada. Se você não precisa que outras pessoas mostrem suas telas, você sabe qual opção escolher;
- Permitir que vários participantes compartilhem telas simultaneamente. Se você não conseguir entender imediatamente para qual finalidade suas reuniões iriam usar esse recurso, provavelmente você nunca precisará dele; lembre-se disso caso necessite ativá-lo um dia.
8. Opte pelo Zoom em seu navegador
Os vários aplicativos clientes do Zoom demonstraram uma variedade de falhas. Algumas versões permitem que hackers acessem a câmera e o microfone do dispositivo; outros permitem que sites adicionem usuários a chamadas sem o consentimento deles. O Zoom foi rápido para corrigir os problemas mencionados, bem como outros semelhantes, e parou de compartilhar dados do usuário com o Facebook e o LinkedIn. No entanto, dada a ausência de uma avaliação de segurança adequada, os aplicativos Zoom provavelmente permanecem vulneráveis e ainda podem empregar práticas duvidosas, como compartilhar dados com terceiros.
Por esse motivo, recomendamos o uso da interface web do Zoom em vez de instalar o aplicativo no seu dispositivo, se possível. A versão para navegador fica em uma sandbox no navegador e não possui as permissões de um aplicativo instalado, limitando a quantidade de danos que pode causar.
Em alguns casos, no entanto, mesmo se você quiser usar a interface web, poderá descobrir que o Zoom iniciou o download do aplicativo automaticamente, e não há outra opção para conectar-se à reunião se não concluindo a instalação. Nesse caso, você pode pelo menos limitar o número de dispositivos nos quais o Zoom está instalado para apenas um. Seja o seu smartphone secundário ou, por exemplo, um laptop sobressalente. Escolha um dispositivo com quase nenhuma informação pessoal. Sabemos que isso soa um tanto paranoico, mas é melhor prevenir do que remediar.
A propósito, se sua empresa já usa o Skype for Business (anteriormente conhecido como Lync), você tem outra opção. O Skype for Business é compatível com o Zoom e permite as chamadas em conferência do Zoom – sem as falhas mencionadas acima.
9. Não acredite na propaganda do Zoom de criptografia de ponta a ponta
O Zoom ganhou espaço no mercado não apenas por seus preços e conjunto de recursos, mas também porque anunciou criptografia de ponta a ponta. Com ela, todas as suas comunicações teoricamente seriam criptografadas de maneira que somente os usuários envolvidos na chamada possam descriptografá-las. Todas as outras partes, incluindo os prestadores de serviços, não podem acessá-las.
Parece ótimo, mas é quase impossível, como os pesquisadores de segurança apontaram. O Zoom teve que reconhecer que, no seu caso, a outra ponta significa o servidor Zoom – o que significa que o vídeo é criptografado, mas os funcionários do Zoom e agentes da lei têm acesso. O texto nos chats, no entanto, parece realmente criptografado de ponta a ponta. A falsificação de criptografia não é necessariamente um motivo para abandonar o Zoom definitivamente – outros serviços populares de videoconferência também não possuem esse recurso. Mas lembre-se disso e evite discutir segredos pessoais ou corporativos no Zoom.
10. Pense sobre o que as pessoas podem ver ou ouvir
Este se aplica a todos os serviços de videoconferência, não apenas ao Zoom. Antes de atender a chamada, reserve um momento para considerar o que as pessoas vão ver ou ouvir quando você entrar na chamada. Mesmo se você estiver em casa sozinho, espera-se que você esteja totalmente vestido. A preparação prévia é uma boa ideia.
O mesmo vale para sua tela, se você planeja compartilhá-la. Feche todas as janelas que você prefere que outras pessoas não vejam, seja um presente surpresa que você esteja comprando online para outra participante ou uma pesquisa de emprego que seu chefe não precise saber. Vamos deixar outros exemplos para sua imaginação.
Aproveite seu Zoom
O auto-isolamento pode ser chato e solitário. Pelo lado positivo, imagine tudo isso acontecendo antes da banda larga, das videoconferências e da possibilidade de muitos trabalharem remotamente. Temos a sorte de existir aplicativos como o Zoom e agora você sabe o caminho mais seguro para usá-lo.