İşte koronavirüs ile 10 milyondan 200 milyona çıkan Zoom ile gelen riskler
Dünya nüfusunun üçte biri koronavirüs nedeniyle evine kapandı. Uzaktan çalışma veya eğitim nedeniyle görüntülü konferans sistemlerinin kullanımında yüzde 200 artış görülürken, dünyada olduğu kadar Türkiye'de de Zoom uygulaması hiç olmadığı kadar öne çıktı. Yılbaşında bu yana kullanıcı sayısı 10 milyondan 200 milyon çıkan Zoom ile ilgili bilgi güvenliği endişeleri de artınca, uygulama ABD'deki okullarda birer birer yasaklanmaya başladı. İşte Zoom ile gelen riskler ve özellikle öğretmenlerin dikkat etmesi gerekenler...
Türkiye dahil pek çok ülkede hem işyerleri hem de öğretmenler tarafından tercih edilen görüntülü konferans platformu Zoom’un kullanıcı sayısı son üç ay içinde günlük 10 milyondan 200 milyon kişiye kadar çıktı. Ancak bu hızlı yükseliş, pek çok sorunu da beraberinde getirdi.
ABD’de New York Eğitim Departmanı, İngiltere’de Savunma Bakanlığı ve daha pek çok kuruluş, bu platformun kullanımını kısıtladı veya yasakladı. Firmanın kurucusu ve CEO’su Eric S. Yuan’da bir açıklama yaparak, beklenmedik kullanıcı artışından doğan sorunlardan ötürü özür diledi, şirketin tüm mühendislik kaynaklarını ‘güven, güvenlik ve gizlilik konularına odaklanmak‘ üzere yönlendirdiğini duyurdu.
SORUMLULUK KİMDE?
Habertürk'ten Necdet Çalışkan'ın haberine göre uygulama ile ilgili bir önemli detay da yaş sınırlaması ile ilgili. Zoom’da hesap açmak için en az 18 yaşında olmak gerekiyor. Ancak mevcut durumda anaokulundan, liseye kadar milyonlarca öğrenci bu platformda online eğitim almaya çalışıyor.
Okul ve/veya öğretmenlerin başlattıkları Zoom görüşmelerine (Zoom Meeting) öğrenciler velilerinin bilgileriyle davet ediliyor. Ancak bu öğrencilerin kişisel bilgilerinin güvenliği konusunda ise sorumluluk tamamen görüşmeyi başlatan, dersi veren öğretmende bulunuyor. Bu hüküm, Zoom’un kullanıcı sözleşmesinde de yer alıyor.
Eleştiri okların hedefine yerleşmesinin ardından Zoom, 18 Mart 2020 tarihinde öğrencilere yönelik gizlilik politikasını değiştirdi ve şu hususlar eklendi:
“K-12 okullarına sunduğumuz hizmetlerin bir parçası olarak Zoom, 16 yaşın altındaki öğrenciler tarafından da kullanılabilir… 13 yaşın altındaki öğrencilerden herhangi bir kişisel bilgi toplamadan önce, okulun veya öğretmenin yürürlükteki yasalar çerçevesinde ebeveynlerden izin almaları gerekir.”
1 MİLYON TL'YE KADAR CEZASI VAR
Örneğin Türkiye özelinde bakacak olursak, platform üzerinden bir öğrencinin ses, fotoğraf, görüntü veya ekran kaydı gibi bir bilgisinin alınması durumunda, Kişisel Verileri Koruma Kanunu kapsamındakullanıcıların bilgilerinin mevzuata aykırı olarak toplanması ve işlenmesinin 20 bin TL’den başlayıp, 1 milyon TL’ye kadar çıkan idari yaptırımları sözkonusu.
Bir diğer önemli unsur ise bu görüşmeyi başlatan kişilerin (öğretmen veya okul), velilerden de çocuklar ile görüntülü görüşebilmek için yazılı veya dijital olarak izin almış olması gerekiyor. Tabi bu konuda da Zoom, açıkçası “Sorumluluk görüşmeyi başlatanda” demekten başka birşey demiyor.
Siber güvenlik kuruluşu Eset’in de yaptığı incelemeye göre Zoom'un geçen haftadan bu yana karşı karşıya kaldığı 5 önemli sorun şunlar oldu:
- Uygulamanın iOS sürümü, kullanıcıların Facebook hesabı olmasa bile Facebook'a istatistikler gönderiyor ve Zoom'un gizlilik anlaşmasında bundan hiç bahsedilmiyor. Şirket sorunu kabul etti ve iOS için Facebook Yazılım Geliştirme Kiti‘ni (SDK) kaldırdı.
- Aksi yöndeki iddialara rağmen ama bazı araştırmalara göre uygulama, video ve sesli toplantıları uçtan uca şifrelemeyi desteklemiyor. Zoom daha sonra özür diledi ve TLS olarak bilinen aktarım şifrelerini kullandığını açıklığa kavuşturdu.
- Uygulamanın aynı zamanda birkaç güvenlik açığı içerdiği tespit edildi, ancak hepsi kısa sürede düzeltildi. Windows istemcisi, kullanıcıların Windows oturum açma kimlik bilgilerini ortaya çıkarabilecek ve hatta cihazlarında keyfi komutların yürütülmesine yol açabilecek bir UNC yolu enjeksiyon kusuruna duyarlı bulundu.
- Zoom ayrıca, toplantı sahibinin ekran paylaşımı modundayken katılımcıların gerçekten dikkat edip etmediğini kontrol etmesini sağlayan bir özellik olan 'katılımcı izleme' özelliğini de kaldırdı.
- ABD Federal Soruşturma Bürosu FBI, yetkisiz kişilerin özel toplantılar ve okul sınıflarına erişerek, rahatsız edici görüntüler yayabildikleri “Zoom Bombalama (Zoom-Bombing)“ adlı bir saldırı türüne karşı uyarıda bulundu.
NASIL GÜVENDE KALABİLİRİZ?
Antivirüs ve internet güvenliği kuruluşu Eset’in uzmanları, Zoom kullanırken alınabilecek önlemleri şöyle sıraladı:
- Zoom'un 'Bekleme Odası' özelliğiyle ve/veya parolalar kullanarak toplantı katılımcılarını inceleyin.
- Ekran paylaşımını ana bilgisayar ile sınırlayın.
- Zoom'un en son (güncel) sürümünü kullanın.
- Bağlantı veya toplantı kimliklerini sosyal medyada paylaşmayın.
- Katılımcıları davet ederken bağlantılar yerine toplantı kimliklerini kullanmaya çalışın, çünkü uygulamanın beklenmedik başarısından faydalanmaya çalışan Zoom temalı ama kötü amaçlı yazılımlar var.