الرأي: إن معالجة Zoom للكشف عن الثغرات الأمنية يسلط الضوء على الجانب المظلم من NDAs

على الرغم من بذل المنظمة قصارى جهدها لإنتاج خدمة لا تشوبها شائبة وآمنة ، يمكن أن تحدث أخطاء البرامج بالفعل ، وبعضها أكثر خطورة من غيرها.

في بعض الأحيان ، لا يمكن اكتشاف هذه الأخطاء حتى من قِبل فرق الأمان الأكثر خبرة ، مما قد ينتج عنه منتج يهدد الأمان الرقمي لمستخدميه ويتركهم عرضة لهجمات إلكترونية. أعدت العديد من الشركات برامج مكافآت الأخطاء لتجنيد باحثين في الأمن السيبراني لمساعدتهم على تحديد مواطن الضعف التي قد تكمن في أنظمتهم.

في الأساس ، يقوم الباحث باختراق (أخلاقيا) في نظام البائع لمحاولة استغلال أي نقاط ضعف قد تكون موجودة. إذا اكتشف الباحث وجود ثغرة تمثل مخاطرة كبيرة بما فيه الكفاية ، يمكن للباحث جمع مكافأة بقيمة مئات الدولارات ، أو حتى مئات الآلاف من الدولارات ، وهذا يتوقف على شدة الخطأ المكتشفة. غالبًا ما يعمل الصيادون في مجال الأخطاء كأبطال غير معروفين لمؤسسات حفظ الأمن السيبراني عن ضمان الأمن الرقمي للمستهلكين.

ماذا يحدث ، على الرغم من ذلك ، عندما تكون المنظمة في خلاف مع باحث الأمن السيبراني حول مدى خطورة الضعف الذي اكتشفه الباحث؟ ماذا يحدث عندما تحاول إحدى المنظمات تجنب المساءلة عن طريق منع الباحث من الكشف علنًا عن النتائج التي توصل إليها ، أو يوافق فقط على دفع تعويض عن الأخطاء بشرط أن يظل الباحث صامتًا علنًا بشأن الضعف؟ عندما يحدث هذا ، يمكن أن يتعرض أمن المستهلك الرقمي وخصوصيته الشخصية للخطر الشديد.

تعد برامج مكافأة الأخطاء ضرورية للحفاظ على الأنظمة التي تقوم بتشغيل البرامج والتطبيقات التي يستخدمها المستهلكون كل يوم آمنة وتعمل بشكل صحيح. وهي تحفز الباحثين في مجال الأمن السيبراني والمتطفلين الأخلاقيين على التقدم والعثور على نقاط الضعف. من المنطقي أن مطالبة صيادين المكافآت بالتوقيع على اتفاقية عدم الإفصاح (NDA) هي أيضًا طريقة مهمة وفعالة لمنع التعرض لأية نقاط ضعف محتملة الخطورة بشكل علني واستغلالها قبل تصحيحها.

ومع ذلك ، فإن أحكام NDA التي تمنع الباحث من الكشف علانية عن أي ثغرة أمنية ، على سبيل المثال ، يمكن أن توفر حافزًا ضئيلًا للشركة للتصدي للخطأ بشكل صحيح ، مما يترك المستخدمين معرضين للعديد من التهديدات السيبرانية.

يقوم الباحثون في مجال الأمن وصيادو المكافآت بعمل رائع في مساءلة الشركات عن إبقاء مستخدميها في أمان وأمان. ولكن عندما تنخرط الشركات في تكتيكات NDA مشكوك فيها مع الباحثين في مجال الأمن لتفادي تلك المساءلة ، يمكن أن يتعرض أمن المستخدم لخطر كبير.

في ضوء الموجة الأخيرة من خروقات البيانات البارزة والرقابة الأمنية الكبيرة التي تنطوي على بعض من أكبر الأسماء في التكنولوجيا ، يستحق الجمهور مساءلة أكبر بكثير من الشركات التي يعهد إليهم بمعلوماتهم. بدأ المشرعون في جميع أنحاء العالم في اتخاذ إجراءات صارمة ضد الصناعة وصياغة تشريعات تهدف إلى حماية المستهلكين مع مساءلة شركات التكنولوجيا عن كيفية تعاملهم مع البيانات الحساسة. أقر كبار المسؤولين التنفيذيين في الصناعة ، مثل مارك زوكربيرج في فيسبوك وبيل غيتس من مايكروسوفت وتيم كوك من أبل ، بالحاجة إلى حماية أفضل لخصوصية المستهلك بالإضافة إلى شعور أكبر بالمساءلة أمام الشركات. في الوقت نفسه ، أصبح المستهلكون لا يثقون بشكل متزايد في كيفية إدارة الشركات لبياناتهم الخاصة.

بالنظر إلى هذا الاتجاه ، فإن تعامل Zoom مع كشف مسؤول لباحث الأمن السيبراني للعديد من نقاط الضعف الخطيرة في تطبيق مؤتمرات الفيديو أمر محير. في شهر مارس ، اتصل باحث الأمن السيبراني جوناثان ليتشوه بـ Zoom لإخطار الشركة بوجود ثغرات أمنية كبيرة موجودة في تطبيق مؤتمرات الفيديو الخاص بها لأجهزة كمبيوتر Mac. بالإضافة إلى الخلل الذي سمح للمهاجمين الخبيثين بشن هجوم رفض الخدمة (DOS) على جهاز المستخدم ، وكذلك الخلل الذي ترك خادم ويب محلي مثبتًا على جهاز Mac للمستخدم حتى بعد إلغاء تثبيت تطبيق Zoom ، كشف Litschuh أيضًا عن ثغرة أمنية خطيرة مزعجة سمحت لكيان طرف ثالث ضار بالوصول عن بُعد إلى جانب تمكين الميكروفون والكاميرا لمستخدم Mac غير المطمئنين تلقائيًا.

وفقًا لمدونة ليتشوه ، قلل Zoom باستمرار من شدة الثغرات الأمنية خلال المحادثات الجارية. منحت Leitschuh Zoom نافذة مدتها 90 يومًا من معايير الصناعة لحل المشكلات قبل متابعة الإفصاح العلني. حتى أنه قام بتزويد Zoom بما أسماه حل "الإصلاح السريع" لتصحيح مشكلة عدم حصانة الكاميرا مؤقتًا بينما أنهت الشركة العمل على طرح الإصلاح الدائم. خلال اجتماع قبل الموعد النهائي للإفصاح العلني عن 90 يومًا ، قدمت Zoom إلى Leitschuh الإصلاح المقترح. ومع ذلك ، سارع الباحث إلى الإشارة إلى أن الحل المقترح كان غير كاف ويمكن بسهولة تجاوزه من خلال وسائل مختلفة.

في نهاية مهلة الإفصاح العلني التي مدتها 90 يومًا ، نفذت Zoom حل "الإصلاح السريع" المؤقت. كتب ليتشه في مدونته:

"في النهاية ، فشلت Zoom في التأكيد بسرعة على أن الثغرة الأمنية المبلغ عنها موجودة بالفعل وفشلت في إصلاح المشكلة التي تم تسليمها للعملاء في الوقت المناسب. يجب أن تكون مؤسسة هذا الملف الشخصي ومع قاعدة المستخدمين الكبيرة هذه أكثر نشاطًا في حماية مستخدميها من الهجوم."

في ردها المبدئي على الكشف العام على مدونة الشركة ، رفضت Zoom الاعتراف بخطورة مشكلة عدم حصانة الفيديو و "في النهاية ... قررت عدم تغيير وظائف التطبيق." على الرغم من (فقط بعد تلقي رد فعل عنيف عام بعد الكشف) وافق Zoom على الإزالة الكاملة لخادم الويب المحلي الذي جعل هذا الاستغلال ممكنًا ، وكان رد الشركة الأولي إلى جانب حسابات Leitschuh حول كيفية اختيار Zoom للتصدي لإفصاحه المسؤول يكشف أن Zoom لم يأخذ القضية على محمل الجد ولم يكن لديه اهتمام كبير بحلها بشكل صحيح هذا.

الزم الصمت

حاول Zoom شراء صمت Leitschuh بشأن هذه القضية من خلال السماح له بالاستفادة من برنامج مكافآت الأخطاء الخاص بالشركة فقط بشرط توقيعه على NDA صارم للغاية. ورفض ليتشوه العرض. زعم Zoom أنه تم تقديم مكافأة مالية للباحث ولكنه رفضها بسبب "شروط عدم الكشف". ما زوم المهملة أن أذكره هو أن المصطلحات المحددة تعني Leitschuh كان منعت من الكشف عن نقاط الضعف حتى بعد تم تصحيحها بشكل صحيح. هذا من شأنه أن يعطي Zoom صفر حافز لتصحيح الثغرة الأمنية التي رفضتها الشركة باعتبارها غير ذات أهمية.

تعد NDAs ممارسة شائعة في برامج مكافآت الأخطاء ، ولكن المطالبة بصمت دائم من الباحث أشبه بدفع أموال زائدة ولا تفيد الباحث في النهاية ، كما أنها لا تفيد المستخدمين أو الجمهور بشكل عام. يجب أن يكون دور NDA هو إعطاء الشركة قدراً معقولاً من الوقت لمعالجة مشكلة عدم الحصانة وإصلاحها قبل أن تتعرض للجمهور ويحتمل أن يستغلها مجرمو الإنترنت. الشركات لديها توقعات معقولة بعدم الكشف أثناء العمل على إصلاح الثغرة الأمنية ، ولكن في المقام الأول لصالح المستخدم ، وليس في المقام الأول لحفظ ماء الوجه في محكمة الرأي العام. الباحثون ، من ناحية أخرى ، لديهم توقعات معقولة لمكافأة نقدية ، وكذلك للاعتراف العام بجهودهم. لدى المستخدمين توقعات معقولة بأن الشركات التي يستخدمون منتجاتها تفعل كل ما في وسعهم لتأمين خصوصيتهم. أخيرًا ، يتمتع الجمهور بحق معقول في معرفة نقاط الضعف الأمنية الموجودة وما الذي يتم القيام به لحماية المستهلكين من التهديدات السيبرانية ، وما الذي يمكن للمستهلكين فعله لحماية أنفسهم.

الأولويات المتضاربة

كان من الصعب على Zoom التعامل مع هذا الموقف أسوأ مما كان عليه الحال. كانت الشركة تركز بشكل كبير على خلق تجربة مستخدم سلسة لدرجة أنها فقدت تماما الأهمية الحاسمة لحماية خصوصية المستخدم. "الفيديو أساسي لتجربة Zoom. منصة الفيديو الأولى لدينا هي فائدة أساسية لمستخدمينا حول العالم ، وقد أخبرنا عملاؤنا أنهم يختارون Zoom لتجربة اتصالات الفيديو غير الاحتكاكية الخاصة بنا ، "لقد ذكرت الشركة في ردها. لكن Zoom لجأت إلى تثبيت خادم ويب محلي في الخلفية على أجهزة كمبيوتر Mac تجاوزت بشكل فعال ميزة أمان في متصفح الويب Safari لتسهيل تجربة الفيديو "بدون احتكاك" لمستخدميها. تتطلب ميزة أمان Safari المعنية تأكيد المستخدم قبل تشغيل التطبيق على جهاز Mac. كان حل Zoom لهذا هو تجاوزه عن قصد وتعريض خصوصية المستخدمين للخطر لإنقاذهم بنقرة أو اثنتين.

فقط بعد رد الفعل العام الذي تلقته في أعقاب الكشف ، اتخذت الشركة إجراءً ذا مغزى. أشار الرد الأولي للشركة إلى أنه ليس لديها أي نية لتغيير وظيفة التطبيق حتى في ضوء مواطن الضعف الكبيرة التي يعاني منها التطبيق. يبدو أن الشركة كانت على استعداد لتحديد أولويات تجربة المستخدم على أمان المستخدم. على الرغم من أن تجربة المستخدم السلسة مفيدة بلا شك لأي تطبيق عبر الإنترنت ، فمن المؤكد أنه لا ينبغي أن يأتي على حساب الأمان والخصوصية.

حسب تقدير الشركة ، أقر المؤسس المشارك والرئيس التنفيذي إريك إس يوان في وقت لاحق أن Zoom تعاملت مع الموقف بشكل سيئ والتزمت بالقيام بالمضي قدمًا بشكل أفضل. صرح يوان في منشور بالمدونة "لقد أخطأنا في تقدير الموقف ولم نرد بسرعة كافية - وهذا أمر علينا. نحن نأخذ الملكية الكاملة وتعلمنا الكثير. ما يمكنني أن أخبرك به هو أننا نأخذ أمان المستخدم على محمل الجد بشكل لا يصدق ونحن ملتزمون التزاما قويا بالعمل الصحيح من قبل مستخدمينا ، "مضيفا أيضا أن" عملية التصعيد الحالية لدينا لم تكن جيدة بما فيه الكفاية في هذه الحالة. لقد اتخذنا خطوات لتحسين عمليتنا لتلقي وتصعيد وإغلاق الحلقة لجميع المخاوف المتعلقة بالأمن في المستقبل. "

"لقد أخطأنا في تقدير الموقف ولم نستجب بسرعة كافية - وهذا أمر علينا.

في النهاية ، تظل الحقيقة هي أنه إذا وافق الباحث على شروط NDA التي قدمها له Zoom وتم حظره من الكشف عن النتائج التي توصل إليها ، فمن المحتمل جدًا أننا لم نسمع أبدًا أي شيء عن الضعف. والأسوأ من ذلك ، أنه من المحتمل ألا تتمكن الشركة من حل المشكلة مطلقًا ، مما يجعل ملايين المستخدمين عرضة لغزو خطير للخصوصية.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me