Relatório sobre o progresso do plano de segurança de 90 dias: 20 de maio

Autorização do FedRAMP para o Zoom Phone aprovada Anunciamos hoje que a autorização do Zoom Phone sob o FedRAMP dos EUA foi aprovada. Essa autorização permite que as agências e empresas contratadas do governo federal dos EUA agora usem o Zoom Phone como parte dos nossos serviços Zoom para o governo já existentes. A Zoom para o governo fornece às agências governamentais dos EUA uma plataforma Zoom UCaaS completa, incluindo reunião e chat Zoom, webinars em vídeo Zoom, soluções para salas de conferência e agora também o Zoom Phone. Segurança da reunião Lynn Haaland falou sobre o que a Zoom fez nos últimos meses para ajudar a evitar interrupções nas reuniões por parte de usuários indesejados. Isso inclui a adição de configurações de segurança padrão, como senhas e salas de espera para determinados usuários, aplicação de controles de segurança nas reuniões no ícone Segurança, adição de mecanismos de relatórios e o trabalho em estreita colaboração com as autoridades e outras plataformas on-line, além da conscientização dos os usuários sobre as práticas recomendadas de segurança. Lynn também reiterou as dicas a seguir para proteger suas reuniões Zoom:

• Não compartilhe publicamente a sua ID e/ou senha da reunião.
• Mantenha os recursos de segurança padrão da Zoom ativados, pois eles incluem salas de espera, senhas e compartilhamento de tela restrito.
• Conheça os recursos de privacidade e segurança do anfitrião, como desabilitar vídeo, silenciar participantes, remover participantes e bloquear reunião.
• Use o recurso de inscrição para as reuniões.

Lynn explicou que as reuniões Zoom não foram projetadas para eventos públicos ou de larga escala em que você publica o convite na internet. Em vez disso, é altamente recomendável que você use os webinars por vídeo Zoom, que oferecem mais controle sobre o público e a experiência como um todo. Obtenha mais detalhes sobre reuniões x webinars na nossa página de suporte. Programa de prêmio de bug da Zoom Katie Moussouris, fundadora e presidente da Luta Security e consultora de segurança da Zoom, falou sobre como o programa de prêmio de bug da Zoom funcionará, explicando que ele usa um modelo de crowdsourcing que depende de todas as partes, incluindo pesquisadores de segurança, para encontrar e reportar bugs. Ela também observou que, antes que a Zoom implemente quaisquer alterações em seu programa de prêmio de bug, sempre solicitamos feedback da comunidade em geral para otimizar esses programas. Lembrete sobre o Zoom 5.0 A Zoom 5.0 foi disponibilizada no dia 27 de abril e a ativação da criptografia AES de 256 bits no modo GCM em todas as contas do sistema ocorrerá no próximo 30 de maio de 2020. Somente os clientes Zoom com a versão 5.0 ou posterior, incluindo o Zoom Rooms, poderão ingressar nas reuniões Zoom a partir dessa data. Recomendamos que todos os usuários atualizem para o Zoom 5.0 ou posterior hoje, caso ainda não o tenham feito. Os administradores Zoom devem visitar nossa página de administradores de TI para gerenciar esta atualização em seu ambiente. Os usuários podem obter uma prévia da experiência do GCM em zoom.us/testgcm. Esboço de design de criptografia ponta a ponta a ser disponibilizado na sexta-feira Publicaremos um esboço de design criptográfico detalhado do nosso serviço de criptografia ponta a ponta nesta sexta-feira no GitHub. Estamos organizando discussões com especialistas em criptografia, clientes, grupos de defesa e outros para solicitar feedback para avaliar o design final.

Veja a seguir algumas das perguntas feitas pelos participantes e respondidas ao vivo no webinar desta semana: Como reporto um bug de segurança? Visite zoom.us/security ou envie um e-mail para security@zoom.us. Se estou usando um Chromebook, como faço o download do cliente Zoom 5.0? Os usuários do Chromebook podem fazer o download do aplicativo Zoom Chromebook na loja de aplicativos do Google ou usar o cliente web Zoom, que estará sempre atualizado. Os administradores da conta são notificados quando um usuário é denunciado à Zoom? Quando um anfitrião ou coanfitrião utiliza o recurso Denunciar usuário para denunciar um participante da reunião, um relatório é enviado à equipe de segurança e confiança da Zoom. No entanto, está nos nossos planos para o futuro notificar os administradores de determinadas contas quando um dos seus usuários for denunciado em determinadas situações. Alguém além do anfitrião pode gravar uma reunião? O anfitrião pode conceder acesso a outro participante para gravar, mas ninguém pode iniciar uma gravação na Zoom sem o consentimento de um anfitrião. A Zoom pode dar detalhes sobre o esboço de criptografia ponta a ponta de 22 de maio? O esboço que será disponibilizado em 22 de maio revela nosso plano para criar um serviço de vídeo com criptografia ponta a ponta. Esse esboço não inclui nenhum código real. Queremos reunir e avaliar feedbacks antes de desenvolver nosso serviço de criptografia ponta a ponta. Existem planos para permitir chats privados com usuários na sala de espera para ajudar a verificar suas identidades? Oded disse que esse é um dos aprimoramentos mais solicitados e certamente ele está em nosso roteiro. Por que o recurso para ativar o áudio de todos foi removido e há planos para trazê-lo de volta? Removemos o recurso para ativar o áudio de todos da interface do usuário porque os anfitriões podem ativar o áudio dos participantes sem o consentimento deles. Restabeleceremos esse recurso no futuro. No entanto, os anfitriões precisarão do consentimento dos participantes para ativar os seus áudios durante uma reunião.

Obrigado por participarem da sessão desta semana e por enviarem suas perguntas! Agradecemos profundamente seu apoio em nossa jornada para tornar a Zoom a plataforma de comunicações empresariais mais segura do mundo. Se você perdeu a sessão desta semana, pode assistir à gravação aqui: Para enviar comentários ou fazer uma pergunta à Zoom, escreva para answers@zoom.us. E não esqueça de se inscrever no webinar “Pergunte ao Eric” da próxima semana. Faça o download de um PDF desta postagem