联邦贸易委员会表示，Zoom多年来一直在端到端加密的问题上向用户撒谎

在与美国联邦贸易委员会(Federal Trade Commission)达成的初步和解协议中，Zoom已同意升级其安全措施。联邦贸易委员会指控Zoom多年来一直对用户撒谎，声称其提供端到端加密。

联邦贸易委员会今天在对Zoom的控诉和暂定和解的声明中表示，至少从2016年开始，Zoom就误导了用户，吹嘘它提供了端到端的256位加密来保护用户通信，而实际上它提供的安全级别较低。尽管承诺进行端到端加密，但联邦贸易委员会表示，Zoom保留了可以让Zoom访问内容的密钥。*尽管承诺进行端到端加密，但联邦贸易委员会表示，Zoom保留了可以让Zoom访问内容的加密密钥。*尽管承诺进行端到端加密，但联邦贸易委员会表示，Zoom保留了可以让Zoom访问内容的加密密钥，而事实上，Zoom提供的安全级别较低。尽管承诺进行端到端加密，但FTC表示，Zoom保留了可以让Zoom访问内容的密钥。会议，并在一定程度上确保了Zoom会议的安全，加密级别比承诺的要低。

联邦贸易委员会的起诉书称，Zoom声称它在2016年6月和2017年7月的HIPAA合规指南中提供了端到端加密，这些指南是针对视频会议服务的医疗保健行业用户的。起诉书称，Zoom还在2019年1月的一份白皮书、2017年4月的一篇博客文章中以及在直接回应客户和潜在客户的询问时声称，它提供了端到端加密。

美国联邦贸易委员会在起诉书中称，事实上，Zoom没有为Zoom‘s Connecter(托管在客户自己的服务器上)之外举行的任何Zoom会议提供端到端加密，因为Zoom的服务器(包括一些位于中国的服务器)保存的密钥使Zoom能够访问其客户Zoom会议的内容。

联邦贸易委员会的声明称，Zoom还误导了一些想要将会议记录存储在公司云存储上的用户，谎称这些会议是在会议结束后立即加密的。相反，一些录音据称在未加密的情况下在Zoom的服务器上存储了长达60天，然后才被转移到其安全的云存储中。

为了了结这些指控，Zoom同意了一项要求，即建立和实施全面的安全计划，禁止隐私和安全虚假陈述，以及其他详细和具体的救济措施，以保护其用户基础。联邦贸易委员会表示，在新冠肺炎疫情期间，其用户基础从2019年12月的1000万飙升至2020年4月的3亿。

和解协议得到了联邦贸易委员会多数党共和党人的支持，但委员会中的民主党人反对，因为该协议没有向用户提供赔偿。

联邦贸易委员会民主党委员罗希特·乔普拉表示，今天，联邦贸易委员会投票提议与Zoom达成和解，该方案遵循了不幸的联邦贸易委员会公式。和解协议不会为受影响的用户提供任何帮助。它对依赖Zoom数据保护声明的小企业毫无帮助。而且它不需要Zoom支付一分钱。欧盟委员会必须改变路线。

民主党委员丽贝卡·凯利·斯劳特表示，根据和解协议，Zoom没有必要向客户提供补偿、退款，甚至通知客户有关其服务安全的重大指控是虚假的。拟议中的和解协议的失败损害了Zoom的客户，并大大限制了此案的威慑价值。虽然和解协议规定了安全义务，但斯劳特表示，和解协议中没有直接保护用户隐私的要求。

Zoom正分别面临来自投资者、投资者和消费者的诉讼，这些诉讼最终可能导致财务和解。

Zoom/FTC的和解协议实际上并没有强制要求端到端加密，但Zoom上个月宣布，它将在一次技术预览版中推出端到端加密，以获得用户的反馈。和解协议确实要求Zoom实施以下措施：(A)要求用户使用强大的、唯一的密码保护他们的账户；(B)使用自动化工具来识别非人工登录尝试；(C)限制登录尝试的速率，以最大限度地降低暴力攻击的风险；以及(D)为以下用户实施密码重置。

美国联邦贸易委员会的诉状和和解协议还涉及Zoom在Mac电脑上绕过苹果安全协议部署ZoomOpener Web服务器的争议。美国联邦贸易委员会表示，2018年7月，作为Mac版Zoom更新的一部分，Zoom秘密安装了该软件。

美国联邦贸易委员会表示，ZoomOpener网络服务器绕过了苹果Safari浏览器保护用户免受常见恶意软件攻击的安全保护，从而允许Zoom自动启动并将用户加入会议。如果没有ZoomOpener Web服务器，Safari浏览器会在启动Zoom应用程序之前向用户提供一个警告框，询问用户是否要启动该应用程序。

联邦贸易委员会表示，该软件增加了用户被陌生人远程视频监控的风险，即使用户删除了Zoom应用程序，该软件仍会留在他们的电脑上，在某些情况下，它会自动重新安装Zoom应用程序，而无需任何用户操作。联邦贸易委员会声称，Zoom在没有充分通知或用户同意的情况下部署该软件，违反了禁止不公平和欺骗性商业行为的美国法律。

正如我们当时报道的那样，在2019年7月的争议中，Zoom发布了一项更新，将Web服务器从其Mac应用程序中完全删除。

拟议中的和解方案将在30天内征求公众意见，之后联邦贸易委员会将投票决定是否最终达成和解。一旦和解协议发表在联邦登记册(Federal Register)上，30天的评议期将开始。可以在这里查看FTC案件和相关文件。

每年评估和记录任何潜在的内部和外部安全风险，并制定防范此类风险的方法；

部署多因素身份验证等保护措施，以防止未经授权访问其网络；实施数据删除控制；并采取措施防止使用已知泄露的用户凭据。

和解协议中的数据删除部分要求在31天内删除所有确定要删除的数据副本。

联邦贸易委员会的公告称，如果有任何数据泄露，Zoom必须通知联邦贸易委员会，并将被禁止对其隐私和安全做法做出虚假陈述，包括它如何收集、使用、维护或披露个人信息；其安全功能；以及用户可以在多大程度上控制其个人信息的隐私或安全，联邦贸易委员会的公告称，ZOOM将被禁止对其隐私和安全做法进行虚假陈述，包括如何收集、使用、维护或披露个人信息；其安全功能；以及用户可以在多大程度上控制其个人信息的隐私或安全。

Zoom将不得不审查所有软件更新的安全漏洞，并确保更新不会妨碍第三方的安全功能。一旦和解协议最终敲定，该公司还必须获得第三方对其安全项目的评估，之后每两年一次。这一要求将持续20年。