Zoom 支付 8500 万美元用于谎报加密并向 Facebook 和谷歌发送数据

Zoom 已同意支付 8500 万美元，以解决其在提供端到端加密方面撒谎并在未经用户同意的情况下将用户数据提供给 Facebook 和谷歌的指控。 Zoom 与集体诉讼的提交人之间的和解还涵盖了导致“Zoombombings”猖獗的安全问题。拟议的和解通常会给 Zoom 用户每人 15 美元或 25 美元，并于周六在美国加利福尼亚北区地方法院提起诉讼。九个月前，Zoom 在与联邦贸易委员会的和解中同意安全改进和“禁止隐私和安全虚假陈述”，但 FTC 和解不包括对用户的补偿。正如我们在 11 月所写的那样，FTC 表示 Zoom 在其 2016 年 6 月和 2017 年 7 月的 HIPAA 合规指南、2019 年 1 月的白皮书、2017 年 4 月的博客文章以及对来自客户和潜在客户的询问。实际上，“Zoom 没有为在 Zoom 的‘连接器’产品（托管在客户自己的服务器上）之外进行的任何 Zoom 会议提供端到端加密，因为 Zoom 的服务器——包括一些位于中国的服务器——维护允许 Zoom 访问其客户的 Zoom 会议内容的加密密钥，” FTC 说。在真正的端到端加密中，只有用户自己才能访问解密内容所需的密钥。新的集体诉讼和解适用于全国的 Zoom 用户，无论他们是免费使用还是付费使用 Zoom。如果和解获得法院批准，“支付账户费用的集体成员将有资格获得他们在此期间支付给 Zoom 的核心 Zoom Meetings 订阅费用的 15% [2016 年 3 月 30 日至 7 月 30 日， 2021] 或 25 美元，以较高者为准，”和解协议说。 “没有资格提交付费订阅索赔的集体成员可以提出 15 美元的索赔。这些金额可能会按比例、向上或向下调整，具体取决于索赔量、任何费用和支出奖励的金额、服务支付给班级代表、税收和税收费用以及结算管理费用。”集体律师将获得高达 8500 万美元的 25% 的律师费和高达 20 万美元的费用报销。大约十几名原告正在寻求批准每人支付 5,000 美元。定于 2021 年 10 月 21 日举行关于原告初步批准和解动议的听证会。保护消费者数据，”和解协议说。随着大流行推动其视频会议业务的发展，在截至 2021 年 1 月 31 日的 12 个月内，Zoom 的年收入翻了两番多，从 6.227 亿美元增至 27 亿美元。 Zoom 还报告了 12 个月期间的净收入为 6.72 亿美元，高于 2530 万美元前一年。 Zoom 今年有望取得更好的业绩，第一季度（2 月至 4 月）收入为 9.562 亿美元，净收入为 2.275 亿美元。

2021 年 5 月提交的一份修订后的集体诉讼称，尽管 Zoom 对端到端 (E2E) 加密做出了虚假承诺，但“每次会议的加密密钥都是由 Zoom 的服务器生成的，而不是由客户端设备生成的。”用户计算机或手机上运行的 Zoom 应用程序与 Zoom 服务器之间的连接加密方式与网络浏览器和网站之间的连接加密方式相同。这称为传输加密，它不同于端到端加密，因为 Zoom 服务本身可以访问 Zoom 会议未加密的视频和音频内容。在使用这种加密技术的 Zoom 会议中，视频和音频内容将对任何监视 Wi-Fi 的人保密，但不会对公司或公司自愿与其共享访问权限的任何人保密，通过强制法律（例如，应执法部门的要求），或非自愿（例如，可以渗透公司系统的黑客）。使用真正的端到端加密，加密密钥由客户端（客户）设备生成，只有会议参与者才能解密。 Zoom 的网站声称其服务让主持人“[s] 确保会议具有端到端加密”，并且“Zoom 的解决方案和安全架构提供端到端加密和会议访问控制，因此传输中的数据不会被拦截，”根据投诉。但集体诉讼称，Zoom 无权拥有自己对端到端加密的定义。 “端到端加密的定义不适合业界解释，”投诉说。 “Zoom 的虚假陈述与其他视频会议服务形成鲜明对比，例如 Apple 的 FaceTime，后者承担了为多方通话实施真正 E2E 加密的更具挑战性的任务。” The Intercept 在 2020 年 3 月报道了 Zoom 未能提供端到端加密。 Zoom 对该文章的回应“明确表示 Zoom 既知道它没有使用业界公认的端到端加密定义，并且已经意识到无论如何决定使用“端到端”一词，”诉讼称。投诉指出，Zoom 应用程序曾经包含一个文本框，“将光标悬停在左上角的绿色锁上”会显示该文本框，并说“Zoom 正在使用端到端加密连接”，并补充说“Zoom此后已将此文本更改为简单地说会话已加密。” 2020 年 4 月，Zoom 为“由于我们错误地暗示 Zoom 会议能够使用端到端加密而造成的混乱……虽然我们从未打算欺骗我们的任何客户，但我们认识到存在差异端到端加密的普遍接受的定义与我们如何使用它之间。” 2020 年 10 月，Zoom 宣布推出其首个真正的端到端加密产品的“技术预览”。 Zoom 的网站称，该产品仍处于技术预览阶段，“并禁用了其他几项功能”，因此 Zoom 建议“仅用于需要额外保护的会议”。

诉讼称，Zoom 用户依赖于该公司的承诺，即“Zoom 不会出售用户的数据”以及“Zoom 认真对待隐私并充分保护用户的个人信息”。班级成员不明白“Zoom 会收集 [他们的] 个人信息并将其与第三方（包括 Facebook 和谷歌）共享”和“允许第三方（如 Facebook 和谷歌）访问 [他们的] 个人信息并将其与内容和来自其他来源的信息，以创建 [每个用户] 的唯一标识符或个人资料，用于广告和行为影响目的，”它继续说道。因为 Zoom 实施了 Facebook SDK，用户数据被 Zoom 发送到 Facebook，“无论用户是否创建了 Zoom 或 Facebook 帐户，更糟糕的是，在用户甚至会遇到 Zoom 的条款和条件或任何隐私披露之前， “诉讼说。尽管据报道 Zoom 已经“删除了 Facebook SDK，但 Zoom 继续通过谷歌的 Firebase Analytics SDK 与谷歌共享同样有价值的用户数据，该 SDK 也集成到 Zoom 应用程序中。原告从未授予第三方提取和使用此类数据的许可——事实上，他们甚至不知道数据传输。”除了 Facebook 和谷歌，Zoom 还“将用户的个人数据发送给 hotjar、Zendesk、AdRoll、Bing 等。”该诉讼还称，尽管 Zoom 的安全缺陷导致了这个问题，但 Zoom 将一连串的 Zoomombing 归咎于用户。 Zoom 可以通过“相对简单的技术解决方案”限制未经授权的参与者对会议的干扰......例如，让主持人更容易取消会议和/或弹出 Zoomomber，只需按一个按钮、屏幕共享控制默认值，或实施更强大的会议安全（与会者准入）协议，例如身份验证或唯一的会议密码，”诉讼称。 “早在 2020 年 3 月 20 日，Zoom 就承认其产品存在 Zoombombing 问题。然而，Zoom 没有改变安全协议和默认功能，而是背弃了用户，声称他们因无法正确使用程序，”投诉说。和解协议“要求 Zoom 在一年内不得将 iOS 版 Facebook SDK 重新集成到 Zoom 会议中”，并要求 Facebook“删除从 SDK 获得的任何美国用户数据”。 Zoom 同意的安全性和透明度变化还包括以下内容： 制定并维护至少三年的书面协议和程序，以允许第三方应用程序通过 Zoom 的“市场”传播给用户。开发和维护用户支持票务系统，用于内部跟踪和与用户沟通会议中断报告。

制定并维护与执法部门就涉及非法内容的会议中断进行沟通的书面流程，包括专职人员向执法部门报告连续会议中断的情况。开发和维护安全功能，例如与会者等候室、暂停会议活动按钮以及阻止来自特定国家/地区的用户至少三年。 Zoom 将被要求“通过 Zoom 网站上的专用空间和横幅式通知，更好地教育用户有关可用于保护会议安全和隐私的安全功能。” Zoom 的网站还必须包括“为孩子使用学校提供的 K-12 帐户的父母提供的集中信息和链接”。在宣布和解后，Zoom 向媒体发表声明，不承认有任何不当行为。 “用户的隐私和安全是 Zoom 的首要任务，我们非常重视用户对我们的信任，”Zoom 说。 “我们为我们在平台上取得的进步感到自豪，并期待继续以隐私和安全为先进行创新。”