close
  • chevron_right

    Zoom to pay $85M for lying about encryption and sending data to Facebook and Google

    news.movim.eu / ArsTechnica · Monday, 2 August, 2021 - 19:51 · 1 minute

A computer screen with a Zoom call showing the faces of a dozen participants.

Enlarge / Technical preview of Zoom's end-to-end encryption, made available months after Zoom was caught lying to users about how it encrypts video calls. (credit: Zoom )

Zoom has agreed to pay $85 million to settle claims that it lied about offering end-to-end encryption and gave user data to Facebook and Google without the consent of users. The settlement between Zoom and the filers of a class-action lawsuit also covers security problems that led to rampant "Zoombombings."

The proposed settlement would generally give Zoom users $15 or $25 each and was filed Saturday at US District Court for the Northern District of California. It came nine months after Zoom agreed to security improvements and a "prohibition on privacy and security misrepresentations" in a settlement with the Federal Trade Commission, but the FTC settlement didn't include compensation for users.

As we wrote in November , the FTC said that Zoom claimed it offers end-to-end encryption in its June 2016 and July 2017 HIPAA compliance guides, in a January 2019 white paper, in an April 2017 blog post, and in direct responses to inquiries from customers and potential customers. In reality, "Zoom did not provide end-to-end encryption for any Zoom Meeting that was conducted outside of Zoom's 'Connecter' product (which are hosted on a customer's own servers), because Zoom's servers—including some located in China—maintain the cryptographic keys that would allow Zoom to access the content of its customers' Zoom Meetings," the FTC said. In real end-to-end encryption, only the users themselves have access to the keys needed to decrypt content.

Read 19 remaining paragraphs | Comments

index?i=ybovdTlVCqE:NK-t8OgAKLA:V_sGLiPBpWUindex?i=ybovdTlVCqE:NK-t8OgAKLA:F7zBnMyn0Loindex?d=qj6IDK7rITsindex?d=yIl2AUoC8zA
  • chevron_right

    Zoombombing countermeasures are ineffective in the vast majority of cases

    news.movim.eu / ArsTechnica · Thursday, 4 February, 2021 - 22:09

An upset young woman closes her eyes rather than look at her laptop screen.

Enlarge (credit: Getty Images )

As the COVID-19 pandemic has forced schools, colleges, and businesses to limit in-person meetings, the world quickly adopted video conferencing from services such as Zoom and Google Meet. That, in turn, gave way to "zoombombing," the term for when Internet trolls join online meetings with the goal of disrupting them and harassing their participants. Meeting services have adopted a variety of countermeasures, but a new research paper finds that most of them are ineffective.

The most commonly used countermeasures include password-protecting meetings, using waiting rooms so that conference organizers can vet people before allowing them to participate, and counseling participants not to post meeting links in public forums.

The problem with these approaches is that they assume the wrong threat model. One common assumption, for instance, is that the harassment is organized by outsiders who weren’t privy to meeting details. Researchers at Boston University and the State University of New York at Binghamton studied zoombombing calls posted on social media for the first seven months of last year and found that wasn’t the case in most instances.

Read 11 remaining paragraphs | Comments

index?i=eNs1xK-XdJo:_Tn7TQPVXUQ:V_sGLiPBpWUindex?i=eNs1xK-XdJo:_Tn7TQPVXUQ:F7zBnMyn0Loindex?d=qj6IDK7rITsindex?d=yIl2AUoC8zA
  • chevron_right

    Twitter : L’audition du jeune hacker vire au désastre sur Zoom

    news.movim.eu / JournalDuGeek · Thursday, 6 August, 2020 - 11:45 · 4 minutes

© Tingey Injury Law Firm – Unsplash (modifiée)

Vendredi dernier, un jeune lycéen Floridien de 17 ans, Graham Ivan Clark, a été arrêté et accusé d’être à l’origine de la vaste arnaque au bitcoin qui a mis Twitter a feu et à sang le mois dernier. Les autorités reprochent notamment au hacker présumé d’avoir usurpé l’identité d’un employé pour s’infiltrer au cœur de la plateforme et prendre le contrôle des comptes de personnalités de premier plan. Hier se tenait la première audition du jeune homme; si ce dernier était absent et représenté par son avocat, on peut toutefois affirmer que cette séance restera quand même dans les annales.

Covid-19 oblige, celle-ci ne se tenait pas dans un tribunal mais dans une conférence sur Zoom, le logiciel de vidéoconférence de Microsoft. Celle-ci avait la particularité d’être ouverte au public, sans mot de passe. Et avec le recul, on peut se dire qu’il était au mieux naïf, de penser que des individus mal intentionnés n’allaient pas sauter sur l’occasion. Ce qui devrait arriver arriva : un groupe de trolls a décidé de venir se livrer à une séance de zoombombing (l’équivalent Zoom du photobombing ) particulièrement véhémente à base de bruits peu engageants, de musique exotique et d’insultes. L’apothéose est arrivée lorsqu’un utilisateur est carrément parvenu à prendre la main sur la vidéoconférence pour passer… un clip pornographique. Une grande première pour le pauvre procureur général Andrew Warren, dont l’expression en dit long sur l’aspect surréaliste de la situation.

Un imbroglio incompréhensible

D’après les témoins, le juge Christopher Nash aurait passé plus de temps à bannir la horde de trolls qui déferlait sur la conférence qu’à rendre son verdict. Si on peut tout à fait comprendre le fait de vouloir organiser une audience publique en période de pandémie avec les moyens du bord, on pourrait s’attendre à ce qu’un certain niveau de sécurité soit mis en place. Par exemple, d’après The Verge, le juge a dû approuver les demandes  des participants une par une, mais sans possibilité de savoir s’il s’agissait d’un journaliste, d’un simple observateur ou d’un troll en croisade. Dans un procès aussi médiatisé, il semble aberrant qu’aucun système de vérification n’ait été mis en place en amont. Il paraît également incompréhensible que ce soit le juge lui-même plutôt qu’un service professionnel dédié qui ait dû gérer l’intendance de la conférence.

Il faut toutefois saluer le professionnalisme du personnel du tribunal compte tenu des conditions. Les témoins de la conférence sont unanimes sur le calme du juge et des avocats. The Verge explique qu’ils ont fait tout leur possible pour faire abstraction des invectives des trolls et permettre à l’audience de suivre son cours. Mais en définitive,  cette expérience leur aura servi de leçon et les prochaines séances seront protégées par un mot de passe.

Le verdict presque éclipsé par les trolls

Au milieu de toute cette agitation, le verdict du juge a presque été relégué au second plan. Comme prévu, celui-ci a été sévère : la caution de Clark a été maintenue à 725.000$. Mais ce n’était pas la nouvelle la plus intéressante. L’instruction a par exemple révélé que le jeune Graham n’en était pas à son coup d’essai. Un précédente perquisition réalisée à son domicile l’an dernier aurait permis de découvrir 15.000$ en cash… mais surtout plus de 4 millions de dollars en Bitcoin , que les autorités suspectent de provenir de précédents crimes. C’est un montant plus de 30 fois supérieur aux 117,000$ qu’il aurait prétendument tiré de sa fraude au Bitcoin. Nous pourrions donc bien avoir affaire à un multi-récidiviste.

Mais la donnée la plus étrange reste le devenir de son pactole. En effet, le jeune homme aurait cédé 100 bitcoins (989 700€ au cours actuel) à la justice… mais aurait été autorisé à conserver le reste, pour une raison inconnue à l’heure actuelle. On peut toutefois faire l’hypothèse que la justice n’a pas réussi à prouver l’origine illicite de ces fonds, et dans ce contexte, ne peut pas exiger leur remboursement ni de preuve de leur origine. Cela a suffi à certains observateurs pour imaginer un scénario rocambolesque, où le jeune pirate utiliserait ces fonds pour payer sa caution et partir en cavale… Mais en attendant la prochaine audience, une chose est sûre : mot de passe ou pas, nous n’avons pas fini d’entendre parler des attaques de juillet dernier.

  • chevron_right

    Zoombomber crashes court hearing on Twitter hack with Pornhub video

    news.movim.eu / ArsTechnica · Wednesday, 5 August, 2020 - 19:20

Illustration with two birds on a branch with a fake logo that says

Enlarge (credit: Aurich Lawson / Getty Images)

Zoombombers today disrupted a court hearing involving the Florida teen accused of masterminding a takeover of high-profile Twitter accounts, forcing the judge to stop the hearing. "During the hearing, the judge and attorneys were interrupted several times with people shouting racial slurs, playing music, and showing pornographic images," ABC Action News in Tampa Bay wrote . A Pornhub video forced the judge to temporarily shut down the hearing.

The Zoombombing occurred today when the Thirteenth Judicial Circuit Court of Florida in Tampa held a bail hearing for Graham Clark, who previously pleaded not guilty and is reportedly being held on $725,000 bail. Clark faces 30 felony charges related to the July 15 Twitter attack in which accounts of famous people like Elon Musk, Bill Gates, Jeff Bezos, and Joe Biden were hijacked and used to push cryptocurrency scams. Hackers also accessed direct messages for 36 high-profile account holders.

Today, Judge Christopher Nash ruled against a request to lower Clark's bail amount. But before that, the judge "shut down the hearing for a short time" when arguments were interrupted by "pornography... foul language and rap music," Fox 13 reporter Gloria Gomez wrote on Twitter .

Read 6 remaining paragraphs | Comments

index?i=VFDGyqt4nOk:YPh4unnd2cY:V_sGLiPBpWUindex?i=VFDGyqt4nOk:YPh4unnd2cY:F7zBnMyn0Loindex?d=qj6IDK7rITsindex?d=yIl2AUoC8zA