Zoom Meetings Bahaya Karena Enkripsinya Tidak Kuat?

Kabar mengejutkan dari platform yang menyediakan layanan konferensi video, Zoom Meetings. Federal Trade Commission atau FTC Amerika Serikat menuduh Zoom telah berbohong kepada penggunanya.

Kebohongan tersebut, menurut FTC, adalah mengenai klaim perusahaan terkait fitur enkripsi end-to-end miliknya. Padahal Zoom sendiri telah setuju meningkatkan sistem keamanan miliknya beberapa waktu yang lalu.

Pihak FTC beranggapan bahwa eskipun Zoom menawarkan enkripsi end-to-end, platform tersebut tetap mempertahankan kunci kriptografi. Ini memungkinkan mereka masih bisa mengakses ke sejumlah ruang virtual milik para penggunanya.

FTC juga mengklaim bahwa hal ini terjadi karena Zoom memiliki enkripsi keamanan yang lebih rendah dari yang seharusnya. 

Sebagai informasi, pada tahun 2016, Zoom telah menawarkan pengguna enkripsi 256-bit end-to-end. Meski begitu, FTC beranggapan bahwa sebenarnya Zoom menggunakan enkripsi yang lebih rendah dari angka tersebut.

Beberapa hal ini juga dikeluhkan oleh pihak FTC. 

Yang pertama, Zoom menyatakan telah menawarkan enkripsi end-to-end yang sesuai dengan panduan kepatuhan HIPAA Juni 2016 dan Juli 2017 bagi para pengguna di industri. Mereka menyebutkan ini di postingan di blog sebagai tanggapan kepada pelanggan pada April 2017 dan klaim end-to-end dalam buku putih mereka pada Januari 2019.

Faktanya, Zoom ternyata tidak memiliki fitur end-to-end pada rapat zoom di luar produk penghubung Zoom yang di-hosting di server pelanggan. Server Zoom ternyata bermarkas di China dan tetap mempertahankan kunci kriptografi yang memungkinkan pihak Zoom dalam leluasa mengakses konten konferensi video para penggunanya.

Kunci kriptografi ini merupakan suatu informasi yang mengendalikan jalannya alogaritma dalam kriptografi yang membrikan cara khusus kepada suatu alogaritma ketika mengubah plaintext menjadi text tersandi atau ciphertext dalam proses enkripsi.

Menanggapi tuduhan FTC, Zoom akhirnya memperkenalkan fase pertama dari empat fase enkripsi end-to-endnya pada bulan Oktober untuk pengguna gratis dan berbayar dalam rapat dengan hingga 200 peserta. 

Fase berikutnya, yang dijadwalkan diluncurkan tahun depan, akan memiliki manajemen identitas yang lebih baik dan dukungan untuk sistem masuk tunggal, kata perusahaan itu.

Baca juga:

• Zoom Sekarang Dukung Otentikasi Dua Faktor
• Masalah Keamanan dan Privasi Zoom Telah Diperbaiki
• Kelebihan Zoom Versi Berbayar 
  

Zoom mengklaim bahwa keamanan penggunanya adalah prioritas utama dan telah mengatasi masalah yang dikeluhan FTC. 

"Resolusi FTC sejalan dengan komitmen kami untuk berinovasi dan meningkatkan produk kami saat kami memberikan pengalaman komunikasi video yang aman," ungkap pihak Zoom, dikutip The Verge.

Selain masalah enkripsi, FTC juga mengataka bahwa Zoom telah menyimpan rekaman pertemuan yang tidak terenkripsi di servernya hingga 60 hari. Ini berpotensi membahayakan keamanan beberapa pengguna saat perangkat lunak yang "diam-diam" diinstal yang disebut ZoomOpener. 

Pada ahun 2019 lalu, menurut FTC, aplikasi tesebut memungkinkan Zoom diluncurkan secara otomatis di macOS dan melewati pengamanan di browser Safari Apple yang dimaksudkan untuk memblokir malware. 

Zoom merilis tambalan mengenai hal ini pada bulan Juli lalu, dan Apple mendorong pembaruan untuk menghapus ZoomOpener dari perangkat pengguna.



Kini Zoom harus mengikuti syarat yan diajukan FTC, di antaranya  Zoom harus mengambil langkah-langkah khusus untuk mengatasi masalah dalam keluhan agensi dan meninjau pembaruan perangkat lunak untuk menemukan kelemahan keamanan. 

Zoom juga dilarang membuat representasi yang keliru tentang praktik privasi dan keamanannya termasuk mengambil data pribadi pelanggan serta Zoom juga harus meminta pihak ketiga yang independen untuk menilai keamanan platformnya setiap tahun dan memberi tahu FTC jika terjadi pelanggaran data.