مع انتشار فيروس كورونا (COVID-19)، اعتمد الكثير من الشركات والجامعات سياسات العمل من المنزل، وبالتالي ازداد عدد الناس الذين يستخدمون أدوات الاتصال وإجراء الاجتماعات عبر الإنترنت.
منصة “زوم” (Zoom)، وهي إحدى منصات الاتصال عبر الإنترنت التي ازدادت شعبيتها في الآونة الأخيرة، تشتمل على عدة مشاكل فيما يتعلق بالخصوصية، مثل مراقبة حركة الجهاز (هاتف/كمبيوتر) وجمع الكثير من البيانات الشخصية عن المستخدمين.
بالإضافة إلى ذلك، فشلت “زوم” في معالجة ثغرات أمنية على منصتها، ففي عام 2019، حاول بعض خبراء الأمن الرقمي التواصل مع “زوم” لتصحيح بعض المشاكل الخطيرة إلا أنّ الشركة لم لم تستجب في الوقت المناسب وعلى نحوٍ كافٍ، مما يثير شكوكاً حول التدابير التي تتخذها لحماية المعلومات الخاصة للمستخدمين.
مخاوف بشأن الخصوصية
توفر “زوم” ميزة “مراقبة انتباه الحضور” (attendee attention tracking) التي تسمح لربّ العمل أو أي شخص آخر يدير الجلسة (المضيف) أن يراقب أجهزة المشاركين في الاتصال من دون موافقتهم.
توضح الشركة في سياسة الخصوصية الخاصة بها أنّه “يمكن لمدير الجلسة رؤية إشعار قرب قائمة المشاركين في الاجتماع أو الندوة عبر الإنترنت، إذا ابتعد المشارك عن برنامج ’زوم‘ للكمبيوتر أو تطبيق للهاتف المحمول لأكثر من 30 ثانية”، أما الإشعار حول التركيز (In focus) فهو “يعني أنّ المستخدم يفتح اجتماع ’زوم‘ وينشط عليه”.
بالمختصر، تعمل ميزة “مراقبة انتباه الحضور” كالتالي: في حال كنتم مشاركين في اتصال على “زوم”، وقمتم بتحريك سهم الماوس أو نقرتم على أي شيء خارج برمجية “زوم” (software client)، سيتلقى مدير الجلسة أو المضيف إشعاراً بعد 30 ثانية من فعلكم لهذا الأمر. وهذا يعني أنّ أمامكم 30 ثانية قبل العودة إلى واجهة “زوم” لكي تتفادوا إدراجكم ضمن قائمة “الذين يفعلون شيئاً آخر أثناء الاجتماع”، حتى لو كان ذلك اجتماعاً روتينياً. وهذا خرق واضح للحق في الخصوصية وخطوة خطيرة نحو الرقابة الرقمية.
هذه الميزة التي تمكّن “زوم” من معرفة ما إذا كان المستخدم يشيح بتركيزه خارج المنصة لأكثر من 30 ثانية، يمكن أن تعني أيضاً أنّ “زوم” يمكنها معرفة التطبيقات والبرمجيات الأخرى التي تستخدمها خلال الاجتماع وتجمع بيانات حول استخدامك لهذه التطبيقات. تشير سياسة الخصوصية للشركة إلى أنّه “يجوز لنا (زوم) أيضاً جمع بعض البيانات الشخصية من شركاء خارجيين. وفي بعض الأحيان، فإنّ شركات أخرى تساعدنا في تقديم الخدمة (مقدمو الخدمة الذين نتعاون معهم) قد تصل أو تجمع معلومات نيابة عنا عند استخدامك لمنتجاتنا”.
مشاكل الخصوصية التي تواجه “زوم” ليست جديدة، ففي العام الماضي، قام “مركز معلومات الخصوصية الإلكترونية” (Electronic Privacy Information Center)، وهو مركز أبحاث مستقل لا يبغي الربح في واشنطن العاصمة ويسعى إلى زيادة وعي الجمهور بشأن قضايا الخصوصية وحقوق الإنسان ذات الصلة، بتقديم شكوى إلى “لجنة التجارة الفيدرالية الأميركية” بشأن مسألة “مراقبة انتباه الحضور” في “زوم”. يرد في الشكوى أنّ “’زوم‘ قد صمّمت عمداً خدمة عقد المؤتمرات عبر الإنترنت لتتجاوز إعدادات أمان المتصفح وتشغيل كاميرات الأجهزة الخاصة بالمستخدم عن بُعد، من دون علم المستخدم أو موافقته. ونتيجة لذلك ، عرّضت ’زوم‘ المستخدمين لخطر المراقبة عن بعد وإشراكهم في مكالمات فيديو غير مرغوب فيها بالإضافة إلى هجمات الحرمان من الخدمات (denial-of-service attacks)”.
تقرّ “زوم” في سياسة الخصوصية أنّها تجمع بيانات شخصية منكم وعنكم، أما المشكلة الأكبر فتتمثل في أنّ أنه حتى مع تحديد الشركة لنوع البيانات التي تجمعها فهي تؤكّد أنها تجمع بياناتكم الشخصية عند استخدامكم لمنتجاتها أو التفاعل معها بطريقة أخرى “سواء كان لديكم حساب ’زوم‘ أم لا”. تجمع “زوم” الكثير من المعلومات المحدّدة للهوية الشخصية، مثل اسمكم وعنوانكم الفعلي وعنوان بريدكم الإلكتروني ورقم هاتفكم ووظيفتكم والمؤسسة التي تعملون فيها وبطاقة الائتمان الخاصة بكم، بالإضافة إلى معلومات الجهاز الذي تستخدمونه ومعلوماتكم على “فيسبوك” في حال كنتم تستخدمون ملفكم الشخصي لتسجيل الدخول إلى “زوم”.
تلفت “زوم” أيضاً إلى أنّها ستحتفظ بالبيانات التي تجمعها منكم مباشرة أو من أجهزتكم أو من أولئك الذين يتواصلون معكم باستخدام خدمات “زوم”. أما البيانات الشخصية فتعرّفها الشركة في سياسة الخصوصية بأنّها “أيّ معلومات يمكن استخدامها لتحديد شخص معين أو ربطها به”.
مخاوف بشأن أمن المعلومات ونقاط الضعف في المنصة
لا تنشر “زوم” سياسة واضحة بشأن المشاكل المتعلقة بأمن المنصة، ما يعرّض الملايين من المستخدمين الذين يستخدمون هذا التطبيق إلى خطر كشف خصوصيتهم.
في تقرير أصدرته قبل أيام مؤسسة “بروتون ميل” (ProtonMail) التي تقدم خدمة بريد إلكتروني آمنة معروفة جداً بين المدافعين عن الخصوصية، يشرح استشاري في الأمن الرقمي كيف كانت “زوم” تشغل خادم ويب محلي على جهاز “ماك” (Mac) خاص بالمستخدم، ما منحها القدرة على تجاوز ميزات الأمان في متصفح “سفاري 12” على برمجية التشغيل (OSX) من “آبل”، وذلك من أجل تشغيل برمجيتها. والمفارقة أنّ خادم الويب هذا لم يُذكر في أي وثائق رسمية من “زوم”. في حين تطلب ميزة الأمان في متصفح “سفاري” إذن المستخدم قبل تشغيل كاميرا الجهاز، فإنّ خادم الويب الذي ثبتّته “زوم” لم يكن آمناً بما يكفي، ما يعني أنّه يمكن لأي موقع ويب أن يعيد توجه السيرفر أو التفاعل معه. وقد سمح هذا الأمر لمواقع ويب خبيثة أن تتمكن من الوصول إلى الكاميرا الشخصية من دون أن يلاحظ المستخدمون ذلك، وبالتالي كان بمقدور المتربَصين مراقبة المستخدمين عبر الإنترنت حتى لو كانوا مدركين لهذا الأمر. وقد عالجت “زوم” هذه المشكلة في إصدار جديد من “زوم” في نهاية تموز/يوليو 2019.
على الرغم من استغناء “زوم” عن سيرفرات الويب هذه، فإنّ تجاهلها وإهمالها مسائل الأمن والخصوصية لصالح توفير الخدمة يطرح عدة أسئلة فيما خصّ الثقة بهذه المنصة!
تطرّق الباحث الأمني بروس شناير إلى الإهمال الذي تتعمّده الشركة، حيث قال إنّ “زوم” أُبلغت بالثغرة بكل مسؤولية في 26 آذار/مارس 2019، لكنّها اكتفت بحل “الإصلاح السريع” (quick fix) في 24 حزيران/يونيو بعد 90 يوماً من الانتظار، أي قبل يوم واحد من الموعد النهائي للتصريح عن هذه الثغرة علناً.
نصائح أمنية ومنصات بديلة
ننصح جميع المستخدمين بقراءة سياسة الخصوصية وشروط الاستخدام قبل استخدام أي منصة أو خدمة، خصوصاً إذا كانت تقدم خدمات التواصل والاتصال.
إذا قررتم الاستغناء عن “زوم”، نوصيكم بالمنصات والبرمجيات البديلة الآمنة ومفتوحة المصدر، ومنها على سبيل المثال:
“جيتسي” (Jitsi): تطبيق مجاني ومفتوح المصدر يقدم خدمات الاتصال الصوتي والاتصال بطريقة الفيديو، وعقد المؤتمرات بطريقة الفيديو، وميزة للتراسل الفوري على الويب، كما يعمل على منصات تشغيل مختلفة مثل “ويندوز” (Windows) و”لينكس” (Linux) و”ماك أو إس إكس” (Mac Os X) و”أندرويد” (Android).
“واير” (Wire): منصة للتواصل والاتصال المشفر بين الطرفين، تعمل على أنظمة التشغيل “آي أو إس” (iOS) و”أندرويد” (Android) و”ويندوز” (Windows) و”ماك أو إس” (macOS) و”لينكس” (Linux)، بالإضافة إلى متصفحات الويب. تقدم “واير” مجموعة ميزات تعاونية تجمع بين التراسل وإجراء لمكالمات الصوتية ومكالمات الفيديو ومؤتمرات الفيديو ومشاركة الملفات.
إذا كنتم ملزمين باستخدام “زوم”، نقترح النصائح التالية لحماية بياناتكم:
استخدموا أكثر من جهاز أثناء مشاركتك في الاجتماعات على “زوم” لتجنب تلقي مدير الجلسة إشعاراً حول تتبع الانتباه.
تجنبوا استخدام “فيسبوك” لتسجيل الدخول، وذلك لكي تمنعوا “زوم” من الوصول إلى بياناتكم على موقع التواصل.
قوموا بتحديث تطبيق “زوم” باستمرار للحصول على آخر التحديثات المتعلقة بأمن المنصة.
راغب غندور: مستشار الأمن السيبراني لشركة طيران، ولديه خلفية بحثية في إدارة المخاطر والأزمات. يركز بشكل أساسي على مخاطر الأمن السيبراني والحق في حرية التعبير والخصوصية على الإنترنت.
عبد قطايا، مدير المحتوى الرقمي لدى منظمة “سمكس” للحقوق الرقمية.
