Covid-19 salgınının insanların fiziksel olarak bir araya gelmesini engellemesi sebebiyle zaten halihazırda hayatımızda oldukça büyük yeri olan bilişim araçları bu yerini biraz daha sağlamlaştırdı. Salgının yaygınlaşmasından bu yana özel veya resmi tüm kurumlardan özellikle de halk sağlığı görevlilerinden herkesin evinde kalması ve işlerin devam edebilmesi için video konferans yoluyla iletişim kurulması şeklinde çağrılar yapıldıkça, çalışmasını sürdürenler ile eğitimine devam etmesi gereken öğrenciler büyük ölçüde sesli veya video konferans hizmeti sunan uygulamalar kullanmakta. Bu uygulamalar arasında en öne çıkanlarından biri ise Zoom!

Peki bu durumda tam da büyük ölçüde bilişim araçlarının barındırdığı riskler sebebiyle önem kazanan ve korunmaya muhtaç bir hukuk dalı haline gelen kişisel verilerin korunması hukuku ve buna paralel olarak kişisel verilerin korunması hakkı, gizlilik, mahremiyet ve güvenlik kavramlarını tehlikeye atıyor muyuz?

SpaceX, NASA ve Google Zoom uygulamasının kullanılmasını neden yasaklamış olabilir? New York City'de bulunan okullar tarafından neden Zoom kullanımının bırakılarak Microsoft Teams'e geçiş yapılacağı açıklandı? FBI evden çalışma nedeniyle yapılan telekonferanslar için neden uyarılarda bulunmaya başladı?

Bu yazımızda sizlerle da salgın sebebiyle popülerliğini arttıran ve şu sıralar birinci sırada yer aldığı konuşulan Zoom uygulamasının içerdiği belirlenen bazı güvenlik problemleri ile okul ve işyerleri tarafından kullanılması açısından değerlendirmelerimizi paylaşacağız.

Zoom ile İlgili Güvenlik Tartışmaları: Zoombombing Nedir?

Covid-19 salgını nedeniyle başlayan evden çalışma ve evden eğitim hareketleri sırasında bir anda popülerliğini arttıran Zoom uygulaması şu sıralar birçok tartışmaya konu olmakta. Tartışmaların temel dayanağı ise Zoom uygulamasının "Zoombombing" adı verilen ve pek çok kullanıcı tarafından toplantı linklerini kullanmak suretiyle kişilerin sanal konferans odalarına girerek uygulamanın ekran paylaşımı özelliği sayesinde şiddet veya cinsel içerikli videolar paylaşıldığına dair şikayetler almasıdır. Bu durum yurtdışında bazı okulların Zoom uygulamasını bırakmasına dahi neden olmuştur.

Bu olaylar üzerine Zoom uygulaması, halihazırda New York savcılığı tarafından büyük bir güvenlik incelemesiyle karşı karşıya. Ayrıca FBI'ın uyarılarına konu oldu1. Bazı okullar Zoom kullanımının bırakıldığını ve başka video konferans özelliği sağlayan uygulamalara geçiş yapıldığını açıkladı.

Ama Zoombombing elbette en sıkıntılı güvenlik açığı değil; hatta güvenlik açığı olduğu dahi tartışılır. Zira kamuya açık linkler birçok kamuya açık oturum, eğitim ve telekonferans tarafından kullanılıyor. Dolayısıyla aslında birkaç ayarla engellenebilir. Burada güvenlik açığı olarak adlandırabileceğimiz noktanın standart ayarlarının kamuya açık link vermesi olduğu belirtiliyor.

Aslında https://us04web.zoom.us/profile/setting URL adresinden ayarları değiştirerek ekran paylaşımını durdurmak mümkün. Screen Share bölümünde "Who can share?" ayarını "Host Only" diye değiştirerek herkesin ekran paylaşmasını engelleyebilirsiniz. Bunun yanında istemsiz katılımcıları da engellemek için "Embed password in meeting link for one-click join" seçeneğini kapatarak linke tıklanarak direkt girilmesini engelleyebilir, şifre sorulmasını zorlayabilirsiniz. Bunlar dışında da yine aynı "Ayarlar" sayfasında toplantınızı gizlemek istediğiniz seviyeye göre birçok ayar bulunuyor.

Bu ayar Zoom uygulamasında daha zor bir yerde; fakat bulduğunuz takdirde rahatça oynama yapabilirsiniz. Host ettiğiniz toplantının sayfasında "Security" bölümüne tıklayarak ekran paylaşımını engelleyebilir, toplantıyı daha fazla katılımcının katılmasını engelleyecek şekilde kilitleyebilirsiniz. Fakat yine de önemle altını çizmek gerekir ki web üzerinden Zoom toplantısı oluştururken çok daha fazla güvenlik seçeneğiniz olmasına rağmen nedense uygulamada bu kısıtlı.

Ama yine de Zoombombing yarattığı sıkıntıların görünürlüğü nedeniyle en çok konuşulan Zoom endişesi olmasına karşılık aynı zamanda engellemesi de en basit olanı; fakat esas endişe edilmesi gereken nokta güvenlik açıkları ve üçüncü kişilerle paylaşımlar. Her ne kadar detaylı açıklama vermeseler de SpaceX, Google ve NASA'nın Zoom engellemesi de aslında Zoombombing değil, güvenlik açığı ve üçüncü kişilerle paylaşım tespitleri üzerinden başladı. SpaceX ve Google, asgari bilgi ile yaptıkları açıklamalarda "güvenlik açıkları"na işaret etti2.

Zoom Uygulaması Hangi Güvenlik Açıklarını İçeriyor?

Zoombombing ile başlayan güvenlik tartışmaları, uygulama hakkında pek çok güvenlik açığının tespit edilmesi ile devam etmektedir.

Bunlardan en fazla tepki toplayan olaylardan biri ise Zoom'un iOS aplikasyonunun kullanıcı verilerini Facebook ile paylaştığının ortaya çıkarılması3. Bu nedenle Zoom hakkında müşterileri tam olarak bilgilendirmeksizin kullanıcılara ait Zoom'a erişmek için kullanılan cihazın modeli ve kullanıcıyı reklam amacıyla hedeflemesine olanak sağlayan reklam tanımlayıcısı verilerini de içeren kişisel verilerin Facebook'a aktarıldığı iddiası üzerine kullanıcılar da Zoom'a dava açmakta gecikmedi4. Zoom, daha sonrasında kullanıcılarının Facebook hesapları aracılığıyla kolaylıkla Zoom'a bağlanmalarını sağlayan Facebook SDK'nın gereksiz cihaz verisi topladığının yeni farkına vardıklarını ve amaçlarının bu olmadığını belirterek bu sorunu gideren bir güncelleme yayınladı ve Facebook SDK'yı kaldıracağını açıkladı5.

Son olarak edinilen bilgiye göre ise Zoom her ne kadar web sitesinde toplantıların uçtan uca şifreleme (iletişimin sadece iletişimin tarafları tarafından tam olarak erişilebilir olduğu, şirketin kendisi dahil dışarıdan gelen yetkisiz üçüncü kişilerin şifreli içerikle karşılaştığı sistem) ile güvenli olduğunu belirtse de bir Zoom sözcüsü tarafından yapılan açıklamada Zoom'un TCP ve UDP protokollerini birlikte kullanması sebebiyle uçtan uca şifrelemenin mümkün olmadığı, dolayısıyla uçtan uca şifreleme yerine taşıma şifrelemesi (transport encryption) olan TLS protokolünü kullandıkları açıklandı. 6. HTTPS (secure http protokol) web sitelerinin kullandığı TLS protokolünün farkı uçtan uca şifrelemenin üçüncü kişilere ek olarak hizmeti sunan şirketin de iletişime erişememesidir. Oysa ki TLS protokolünde şirket dilediği takdirde verilere erişebilir. Esasında benzeri diğer uygulamalarda da uçtan uca şifreleme olmamasına karşın Zoom'un aksine böyle bir iddiası da bulunmuyor, üstüne üstlük yayınladıkları saydamlık raporlarıyla da hükümet taleplerinin ne kadarına karşılık verip vermediklerini raporluyorlar7 Bu arada uçtan uca şifreleme olmamasının Zoom'un bu görüşmeleri keyfi biçimde izlemekte olduğu anlamına gelmediğinin de altını çizelim. Uçtan uca şifreleme niteliği itibariyle mütevazı sayıda iletişim uygulamasında kullanılıyor ve TLS şifrelemesi uygulayan şirketler de iletişime erişebilen kişi sayısını genellikle sistem yöneticileriyle sınırlı tutuyor ve yüksek güvenlik standartlarında saklıyor. Gizlilik savunucularının bu anlamda dikkat çektiği konu da genellikle şirketin keyfi uygulama yapacağı değil, hükümet taleplerine istinaden iletişimleri paylaşabilmesine imkân sağladığı oluyor. Google, Facebook ve Microsoft'un saydamlık raporları da tam bu endişeleri rahatlatmak amacıyla yayınlanan raporlar.

Salgın öncesinde keşfedilen bir Zoom açığı ise sofistike olmayan basit bir otomatik numaralandırma saldırısıyla toplantı IDlerine ulaşılabilmekteydi8. Bu açık da bir süre sonra belli önlemlerle kapatıldı9 ve Zoom, görüşmelerde toplantı IDlerinin gizlenmesine yönelik yakın zamandaki bir güncellemesiyle toplantı IDlerinin kötü amaçlı kullanımlarına ilişkin endişelerini bir nebze daha giderdi10.

New York savcılığı tarafından başlatılan inceleme kapsamında Zoom'a gönderilen bir mektupla Zoom ağlarından geçen verilerin kullanım trafiğindeki ani yükselmeye uyum sağlamak için mevcut Zoom güvenlik uygulamalarının yeterli olup olmadığından endişe duyulduğu belirterek şirketin kullanıcı verilerini nasıl koruyacağı hakkında ayrıntılı bilgi verilmesi talep edilmiştir11.

Zoom'a Güvenmeli Miyiz?

Zoom'un aniden artan kullanım trafiği ve Zoom'un açıklamaları ile birlikte aynı zamanda aktif olarak endişelere cevap verme çabası, Zoom'un böyle bir yükselmeyi ve kullanımı beklemediğini bize gösteriyor12.

Zoom, gizlilikle ilgili endişelere kendini adamış durumda ve 90 günlük güvenlik planıyla bu endişeleri gidermeyi hedefliyor ve gidişat hakkında devamlı ve güncel bilgi veriyor13. Bununla birlikte veri güvenliğinin dışında kişisel verilerin korunması ile ilgili bazı endişeleri de gidermeye çalıştığı görülüyor. Örneğin daha önce EFF (Electronic Frontier Foundation) tarafından dikkat çekilen14 ve toplantıya katılanların, toplantı yöneticisi ekran paylaşırken Zoom video penceresini aktif olarak takip etmediklerini tespit eden Attendee Attention-Tracking uygulaması da Zoom tarafından 2 Nisan 2020 tarihinde kaldırıldı15. Ama yine aynı yazıda EFF tarafından dikkat çekilen bir başka husus olan, admin tarafından IP adresi, işletim sistemi, konum verisi gibi verilerin izlenebilmesi özelliğinin hala mevcut olduğunu da belirtelim16.

Mevcut durumda Zoom'da kullanımını yasaklayacak kadar büyük ve ciddi açıkların olmadığı söylenebilir, bir yandan da kullanımı yasaklayan ve veri gizliliğinin önemli olduğu NASA gibi kamu kurumları ile yine Google, SpaceX ve Microsoft gibi ciddi ticari sırları olan ve veri güvenliğine yüksek önem veren şirketlerin, genellikle, sadece Zoom değil, yeterli incelemesi yapılmamış ve yeşil ışık yakılmamış üçüncü kişi uygulamalara izin vermemeye yönelik genel politikalar izlediklerini de belirtmekte fayda var.

Ancak yine de ticari sırrı yoğun olan, çoğunlukla hassas veri saklayan veya okul, hastane gibi hassas kategorideki kişilerin verilerini saklayan bir kurumsanız ciddi güvenlik incelemeleri yapıp, uygulamanın tüm özelliklerini keşfetmeksizin Zoom dahil herhangi bir uygulamayı kullanmamanızı tavsiye ederiz.

1 https://www.fbi.gov/contact-us/field-offices/boston/news/press-releases/fbi-warns-of-teleconferencing-and-online-classroom-hijacking-during-covid-19-pandemic

2 https://www.buzzfeednews.com/article/pranavdixit/google-bans-zoom

https://www.independent.co.uk/life-style/gadgets-and-tech/news/spacex-zoom-elon-musk-video-chat-security-privacy-coronavirus-a9441591.html

3 https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account

4 https://www.businessinsider.com/zoom-sued-allegedly-sharing-data-with-facebook-2020-3

5 https://www.vice.com/en_us/article/z3b745/zoom-removes-code-that-sends-data-to-facebook

6 https://theintercept.com/2020/03/31/zoom-meeting-encryption/

7 Id.

8 https://thehackernews.com/2020/01/zoom-meeting-password.html

9 Id.

10 https://mashable.com/article/zoom-update-hides-meeting-ids/

11 https://www.aa.com.tr/tr/dunya/online-toplanti-platformu-zooma-guvenlik-incelemesi/1786645

12 https://twitter.com/zoom_us/status/1245732637081133056

13 https://blog.zoom.us/wordpress/2020/04/15/90-day-security-plan-progress-report-april-15/

14 https://www.eff.org/deeplinks/2020/03/what-you-should-know-about-online-tools-during-covid-19-crisis

15 https://support.zoom.us/hc/en-us/articles/115000538083-Attendee-attention-tracking

16 https://support.zoom.us/hc/en-us/articles/360039017432-Dashboard-for-Meetings-and-Webinars

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.