Firma dostarczająca wideokonferencyjne oprogramowanie na początku 2020 r. stała się nieoczekiwanie jednym z bohaterów ratujących świat w czasie pandemii. Nie za pomocą szczepionki, ale prostego narzędzia, które pozwoliło szybko (i rzekomo bezpiecznie) zastąpić spotkania w biurach i lekcje w szkołach. Nawet CEO firmy Eric Yuan urzekał szczerością w wywiadach na temat pracy zdalnej, twierdząc, że sam ma za dużo spotkań online „na Zoomie”. Jednak obietnice zabezpieczania danych użytkowników i użytkowniczek, szyfrowania ich i nieprzekazywania m.in. Facebookowi i Google okazały się fałszywe. Dlaczego firmom IT opłaca się kłamać?
„Zoombombing”, czyli popularność bez zabezpieczeń
Dzięki popularności podczas pandemicznej pracy i edukacji zdalnej Zoom z marki znanej głównie w korporacjach błyskawicznie zmienił się w taką, którą rozpoznają wszyscy. Nawet nazwa firmy stała się synonimem konkretnej czynności: spotkań online, podobnie jak Google wyszukiwania w sieci. Na fali tej popularności pojawiły się problemy takie jak „zoombombing”, czyli wchodzenie na cudze spotkania i lekcje zdalne przez nieuprawnione osoby. Ostrzeżenia o tym zjawisku publikowało zarówno amerykańskie FBI, jak i polskie biuro Rzecznika Praw Obywatelskich.
Aktualizacja bezpieczeństwa i edukacja klientów na temat ustawień bezpieczeństwa pozwoliły firmie zachować twarz (i dalej wygrywać z konkurencją na rynku programów do telekonferencji). Przez kilka miesięcy Zoom jednak zaprzeczał, jakoby zjawisko „zoombomingu” było winą programu, i przerzucał odpowiedzialność na użytkowników.
Dane na sprzedaż. Nawet bez zakładania konta!
Doniesienia o przekazywaniu danych przez Zoom do Facebooka, Google, LinkedIn i Bing początkowo właściciele firmy zignorowali. Praktyka ta dotyczyła kont płatnych, bezpłatnych, a nawet osób, które biorą udział w spotkaniach, ale nie mają na Zoomie profilu. Dane tej ostatniej grupy mogły być przekazywane, nawet zanim zostały poproszone o udzielenie zgody na ich przetwarzanie.
Niecały rok po tym, kiedy sprawę nagłośniono, firma poszła na ugodę w jednym z kilku pozwów zbiorowych wytoczonych jej w amerykańskich sądach. Zoom zapłaci klientom, którzy ją zaskarżyli, od 15 do 25 tys. dol. zadośćuczynienia. W sumie 85 mln dol. to jednak niewiele w porównaniu z ponad miliardem, który zarobił w 2020 r. i ogromnym wzrostem wartości jego akcji na giełdzie. Zawarta ugoda dotyczy wprowadzenia w błąd klientów zarówno w zakresie bezpieczeństwa, jak i ochrony danych. Zoom chwalił się szyfrowaniem typu end-to-end (w rzeczywistości było słabsze) i niejasno informował o przekazywaniu danych Facebookowi i Google bez uzyskiwania zgody użytkowników.
Darmowe dane uczniów bez zgody rodziców
Federalna Komisji Handlu (FTC), która zmusiła Zoom do poprawy swoich narzędzi, od kilkunastu lat próbuje wpłynąć podobnie na innego giganta, czyli Google. Firma macierzysta YouTube została ukarana grzywną w wysokości 170 mln dol. za zbieranie danych osobowych od dzieci bez zgody rodziców. Od lat spore wątpliwości budzi również podejście Google do prywatności uczniów i studentów uczelni wyższych w ich pakiecie edukacyjnym G Suite for Education (którego częścią jest popularne również w polskich szkołach Google Classroom).
W następstwie pozwu z 2013 r. rzecznik Google potwierdził, że firma skanuje i indeksuje maile wszystkich użytkowników tych usług. Procesów tych nie można wyłączyć. Chociaż nie jest to wykorzystywane do wyświetlania reklam w ramach usługi, to Google ma możliwość tworzenia profili uczniów i wyświetlania reklam na podstawie ich aktywności w programach edukacyjnych poza nimi. W 2021 r. przeciw Google wystąpiło FTC oraz stan Nowy Meksyk, który pozywa firmę o śledzenie działań uczniów na ich urządzeniach osobistych, dostarczanych szkołom razem z oprogramowaniem poza lekcjami. Pozew stawia pod ogromnym znakiem zapytania prawdziwy cel firmy, która oferuje darmowe lub prawie darmowe usługi edukacyjne, ale poza tym zarabia na masowym zbieraniu danych i profilowaniu miliardów użytkowników sieci.
Do tego, że największe firmy naruszają naszą prywatność, niestety już się przyzwyczailiśmy. Naruszanie przez nie prywatności i bezpieczeństwa danych dzieci to front, na którym zarówno amerykańskie, jak i europejskie instytucje kontroli prawnej wydają się jednak bardziej zdeterminowane. Oby tylko udało im się wywalczać więcej niż ugody i odszkodowania. Jak widać po historii z firmą Zoom, mogą to być nawet drobne zmiany, ale w dobrym kierunku.