10 adımda Zoom ve güvenlik açığına dair bilinmesi gerekenler

COVID-19 sebebiyle iş görüşmeleri, toplantılar, sosyal aktiviteler konferanslar, görüşmeler ve buluşmalar fiziksel dünyadan dijitale hızla taşındı. Haliyle internet kullanıcıları da bu imkânları sağlayacak en iyi uygulamalara yöneldiler. Alternatifleri olsa da dünya çapında en popüler uygulama olan Zoom, bu dönemde de 200 milyonu bulan kullanıcısıyla hâlâ en çok tercih edilen video-konferans uygulaması. 



Fakat Zoom şu günlerde artan kullanıcı sayısıyla değil, güvenlik zafiyetleri sebebiyle gündemde. Peki Almanya ve Tayvan gibi ülkelerin kullanımına sınır getirdiği Zoom, bilgilerimizi ve kimliğimizi nasıl koruyamıyor, güvenlik açıklarının nedenleri ve sonuçları neler? Hangi sorunlar giderildi? Hangileri devam ediyor? Neler yapmalı? Yakından bakmakta fayda var.

Zoom’un artan popülerliği

COVID-19’un hızla yayılmaya başladığı mart ayı başlarında Zoom kullanımı da tavan yapmıştı. Mesela, 16 Mart haftasında bir önceki haftaya göre yüzde 101,1 artış görülmüş, bu da bir önceki aya göre yüzde 224,7 daha fazla bağlantı yapıldığı anlamına gelmişti. Bu artan bağlantılarla veri kullanımı da fırlamış, aynı hafta yüzde 337’yi bulan oranları görmüştü. Peki kullanıcılar açısından bu ne anlam ifade etmekteydi? Zoom’un 1 Nisan’da yayımlanan blog yazısı, platformun mart ayında 200 milyon günlük toplantı katılımcısına ev sahipliği yaptığını ortaya çıkardı. Bu rakam, aralık ayı toplamından 10 milyon daha fazla toplantıyı ifade ediyor. Fakat tam da bu artışlar yüzünden Zoom’un gizlilik ve güvenlik problemleri gün yüzüne çıkmış oldu.

Endişeler nasıl başladı?

Artan kullanım sayıları içerisinde aslında pek çok “davetsiz katılımcının” da olduğunu söylemek gerekir. Zoom ID kodlarının tahmin edilmesinin kolaylığı zoom-bombing denilen bir şeye sebep oldu ve katılımcılar grafik görüntüleri üzerinden taciz edilmeye başlandı. Aynı zamanda hackerlar için bir anda oyun bahçesine dönüştü. Bunda kuşkusuz birçok katılımcının evlere kapanmasıyla daha fazla kullandıkları ev bilgisayarlarının payı yüksek, çünkü ev bilgisayarları güvenlik açığının en fazla tespit edildiği araçlar. Video görüşmeleri ve mesajlarda uçtan uca şifreleme olmadığından Zoom’un kullanıcı e-postaları ve fotoğrafları rahatça sızdırılmıştı. Ayrıca görüşmeler sırasında sohbet penceresindeki bağlantıların tıklanabilir olması da kullanıcı adlarının ve parolaların ifşa edilebildiği anlamına geliyordu. Amerika, İngiltere, Almanya, Tayvan gibi ülkelerin salgın günlerinde Zoom’u daha fazla kullanması uygulamadaki güvenlik zafiyetini de ortaya çıkardı. 

Güvenlik açığının nedenleri neydi?

En başta tabi Zoom yetkililerin önlem alma konusunda geç kalmış olması, güvenlik açığının en büyük nedeni. Uçtan uca şifrelemenin olmaması önemli bir sorun. Uçtan uca şifreleme, gönderilenlerin ve görüşmelerin yalnızca kullanıcılar tarafından erişilebilir olduğunu temin eder. Böyle bir güvenlik tedbiri varken verilere Zoom bile ulaşamaz. Ancak Zoom’un uçtan uca şifreleme tabirini kullanırken tarif ettiği uçlar kendi serverlarıydı. Şifrelemeyle ilgili konuşan ürün sorumlusu Oded Gal, bunun ne kadar yanlış olduğunu kabul etti ve blog yazısında “Şifreleme uygulamalarımıza son zamanlarda daha fazla ehemmiyet vermekteyiz. Şifreleme tabirini her içeriği korumak adına kullandığımız doğru, ama bunun kafa karışıklığı yarattığını görmekteyiz. Hiçbir müşterimizi aldatmak istemesek de uçtan uca şifreleme tabirini yanlış kullandığımızı kabul ediyoruz” dedi. Bir diğer önemli sorun da Zoom’un şifre anahtarlarını tutan bazı serverların Çin’de olmasının ortaya çıkışıydı. Bu, özellikle hükümetlerin ya da büyük kuruluşların tercih etmek istemeyeceği bir durum elbette. CEO Eric Yuan konuya ilişkin 3 Nisan’da yaptığı açıklamada durumu kabul etti ve sorunu giderdiklerini belirtti: “Bazı görüşmelerin olmaması gerektiği halde Çin’deki sistemler üzerinden gerçekleştirilmiş olması mümkün. Ama bu sorunu düzelttik.”

Zoom-bombardımanını önleyecek adımlar

CNN’e konuşan CEO Eric Yuan, “Derslerimizi çıkardık. Gizlilik ve güvenliğe odaklanmak için geri adım attık” açıklamasında bulundu. Platform, özellik güncellemelerini 90 gün boyunca duraklatacağını ve 5 Nisan Pazar gününden itibaren güvenliği artırıcı seçeneklere başlayacaklarını söyledi. İlk büyük değişiklik, artık toplantılara katılırken ayrı bir şifrenin gerekmesinin şart koşulması. Bu değişiklikle bir nevi toplantı kimliği oluşturulmuş oldu. (Detaylara buradan ulaşılabilir.) Bir diğer değişiklik de sanal bekleme odası özelliğinin aktif hale getirilmesi. Yani toplantıya katılmadan önce beklenilen alan. Bunun toplantıdan bağımsız olarak organizatörlerin bireysel konuklarını kabul etmeleri için bir seçenek olduğu konuşuluyor. Dolayısıyla kullanıcıların görüşmelerini parolayla korumaları ve bekleme odası özelliğini kullanarak kimin görüşmelere katılabileceğinin kontrol edilmesi ile Zoom-bombardımanının önüne geçilebiliyor. Fakat The Citizen Lab, bekleme odası ile ilgili henüz detaylarını paylaşmadığı bir güvenlik açığı keşfinden bahsediyor. Zoom yetkililerinden konuya ilişkin açıklama gelince bunun neyle ilgili olduğunu öğrenebileceğiz gibi görünüyor. Dolayısıyla bekleme odası özelliğinin henüz kullanılmaması, parolayla devam edilmesi de önerilenler arasında. Bunun yanı sıra Zoom-bombardımanını önlemek için ekran paylaşımı özelliğini “Host-only” olarak seçmek, görüşmeleri başladıktan sonra kilitlemek ve dosya paylaşımını kapatmak da diğer önerilen adımlar arasında. Ayrıca Zoom, eski Facebook güvenlik şefi Alex Stamos’u danışman olarak işe aldığını açıkladı. Bu hamleyle birlikte gizlilik ve güvenlik sorunlarını iyileştirmek için bir danışma kurulu da oluşturuldu. 

Zoom hükümetlerin güvenini kaybetti mi?

Görünüşe bakılırsa evet. İngiltere Başbakanı Boris Johnson’ın attığı Tweet ile kabinesinin toplantılarını Zoom üzerinden yaptığı öğrenildi. Amerika hükümeti pandemi için ayrılan miktardan Zoom sözleşmelerine 1,3 milyon harcadı. Fakat bu son gelişmelerle Almanya ve Tayvan, Zoom kullanımına sınırlama getirdi. Tayvan hükümeti, devlet kurumlarına Zoom’un konferans uygulamasını kullanmayı bırakmalarını söyledi. “Medya raporlarına ve kendi bulgularımıza dayanarak Zoom’un yazılımının kritik zayıflıkları ve ciddi güvenlik ve veri koruma sorunları olduğu sonucuna vardık” diyen Almanya Dışişleri Bakanlığı da Zoom’un kullanımının kısıtlandırıldığını bildirdi. Neden Tayvan gibi yasaklanmadı diye bakıldığında, Almanya Dışişleri Bakanlığı’nın yayımladığı notta, ülkenin uluslararası ortakları nezdinde hâlâ çok kullanılan bir uygulama olması sebebiyle tamamen yasaklanmasının imkânsız olduğu yazıyor.

Kaydedilen Zoom toplantılarına ulaşılabilme sorunu

Kişisel veri araştırmacısı Patrick Johnson’ın ortaya çıkardığı bir başka güvenlik açığı da Zoom’da gerçekleştirilen ve kaydedilen görüşmelerin ulaşılabilir olması. Bunu Zoom’un bir hatası olarak yorumlamak mümkün görünmese de görüntülerin host bilgisayarına standart isimlerle kaydedilmesi sebebiyle oluşan bir açık söz konusu.  Johnson, araştırması sonucunda YouTube ve Vimeo gibi platformlarda başkalarına ait görüntülerin paylaşıldığını bulmuş. Ulaştığı Zoom kayıtları arasında ufak şirket toplantılarından terapi seanslarına uzanan 15 bin civarında örnek var. Danışmanlar bu tür bir sızıntıya karşı önlem olarak kaydedilen görüşme sonlandıktan sonra dosya ismini değiştirmeyi öneriyor. Zira Zoom’un otomatik kayıtlarına verdiği isimler belli bir formatta oluyor ve bu nedenle de basit bir arama neticesinde kayıtlara ulaşmak çok kolay hale geliyor.

Kişisel e-mail adreslerinin ve profil fotoğraflarının sızma meselesi

Zoom’un “Company Directory” özelliği nedeniyle Gmail, Hotmail, Yahoo gibi büyükler dışında daha ufak çaplı servisleri kullanan kullanıcıların bazıları nisan ayının başında parmaklarının ucunda onlarca, hatta yüzlerce tanımadıkları kişinin e-posta adresini ve profil fotoğrafını buldu. Hollanda’da Zoom’un haberdar olmadığı bazı e-posta servislerini kullanan kullanıcıların aynı alan adını kullanan diğerlerinin otomatik olarak kişi listelerine eklenmesi neticesinde sosyal medyaya taşınarak ortaya çıktı bu açık. Söz konusu alan adları Zoom’un “Company Directory” listesinden çıkarıldı ve kullanıcılara başka çıkarılmasını istedikleri alan adları varsa Zoom’a ulaştırabilecekleri söylendi. 

Facebook’a veri gönderme meselesi

Motherboard’un dikkat çektiği üzere Zoom uygulamasının iOS versiyonu mart ayının sonuna kadar Facebook’a veri göndermekteydi. Üstelik bu veriler bir Facebook hesabınız olsa da olmasa da gönderilmekteydi. Birçok aktivist grup ve araştırmacı tarafından doğrulanan bu durum sonucunda, kullanıcılar Zoom uygulamasına bağlanıldığında bulundukları zaman dilimi, şehir, telefon şebekesi gibi bilgileri Facebook’la paylaşıldı. Uygulamanın gizlilik ilkelerinde bunun açıkça belirtilmemesi sorunluydu. Açığa çıkmasının ardından bu sorun, Zoom tarafından iOS uygulamaları güncellenerek giderildi. 

Toplantı kaydoluyorsa özel penceredeki konuşmalar da kaydoluyor

Katıldığınız görüşmelerde bir kişiyle özel pencereden chat yapma gibi bir arzunuz varsa, bu asla önerilmiyor. Zira eğer host toplantınızı kaydediyorsa (ki bu konuda endişeniz olmasın çünkü bunu bilginiz dahilinde yapmak zorunda, katıldığınız toplantı kaydedilecekse size de bir uyarı gelecektir) özel pencereden yaptığınız görüşme de aynı şekilde kaydolacaktır. Bu konuda atılmış bir adım henüz bulunmamakta. 

Access Now’dan şeffaflık raporu talebi

Uçtan uca şifreleme yönteminin halen bulunmaması, görüşmelerin sadece toplantı şifreleriyle korunması; şirketin hâlâ şifreleme anahtarlarına ve bulutundan geçen tüm video ve ses içeriğine ulaşabiliyor olması sebebiyle insan hakları grubu Access Now, Zoom’dan bir şeffaflık raporu talep etti. Şirketten gelen açıklamada “Zoom, yapılan toplantıların şifresini çözmek gibi bir düşünceye hiçbir zaman sahip olmadı, böyle bir mekanizma üretmeye de kalkışmadı” ifadeleri kullanıldı ve bir şeffaflık raporu yayımlanması kabul edildi.