Gli utenti se ne infischiano dei problemi alla privacy di Zoom. L'app per videoconferenze, usata anche da molte scuole, sta lavorando per tappare le sue falle. Ma nel frattempo non ha risentito dei propri guai. Lo testimoniano sia i numeri forniti dalla società che dagli analisti indipendenti.
In Italia, i download di marzo sono stati 2,5 milioni. È l'effetto clausura: gli utenti, secondo le stime di SensorTower, hanno scaricato l'app 29.000 volte a gennaio e 47.000 a febbraio. Tra scuole e gruppi di lavoro, c'è stata quindi la corsa al download, anche grazie alla semplicità di utilizzo di Zoom. Le crepe nella sicurezza sono diventate visibili tra la fine di marzo e nel corso di aprile. Ma sembrano aver avuto un impatto limitato. I download sono aumentati: sono stati 2,1 milioni nei primi venti giorni del mese. Con tutta probabilità, quindi, ad aprile si potrebbe arrivare attorno alla soglia dei 3 milioni.
Gli italiani non sono i soli ad aver sorvolato sugli inghippi dell'app. La tendenza a ignorare i buchi è comune a tutta Europa. Anzi, di più. Se tra febbraio e marzo la crescita è stata più forte in Italia (5219% contro 3005%), ad aprile (cioè nel periodo in cui Zoom ha rivelato le proprie vulnerabilità), il progresso è stato più significativo nel continente. Probabile che questo scostamento sia dovuto ai tempi d'avvio dei lockdown, in Italia anticipati rispetto al resto d'Europa.
Ma, al di là dei motivi, i numeri confermano come il tema privacy sia stato marginale: 470.000 download a gennaio, 554.000 a febbraio e 17,2 milioni a marzo. Il record è già stato aggiornato nei primi venti giorni di aprile, con 21,4 milioni di download. Quota 30 milioni al mese è alla portata. Secondo quanto riferisce Bloomberg, nel corso di una conferenza online sulla cybersicurezza, il ceo Eric Yuan ha affermato che gli utenti globali attivi ogni giorno al 21 aprile erano 300 milioni, il 50% in più rispetto all'inizio del mese. Alla fine del 2019 erano appena dieci milioni.
Dall'inizio di aprile, nelle videoconferenze, sempre più utilizzate anche per creare classi virtuali, è emerso il fenomeno dello “zoombombing”: compaiono immagini, a volte goliardiche, altre pornografiche o razziste. In alcuni casi, l'intromissione ha diffusione video pedopornografici. Lo zoombombing è la prova che gli hacker sono riusciti a superare le barriere e a entrare nelle videoconferenze senza invito.
L'app ha anche rivelato che, a partire da febbraio, alcuni dati sono passati attraverso server cinesi. Il ceo della società si è scusato, ammettendo che l'app non era “pronta a gestire così tanto traffico in un lasso di tempo così breve”. È emerso anche che Zoom non utilizzasse la crittografia end-to-end (che permette di conoscere solo ai partecipanti il contenuto delle conversazioni) nonostante si vantasse di farlo. Nel frattempo, sono spuntate online le credenziali di 500.000 utenti ed è stato individuato un bug che permette di registrare le conferenze senza autorizzazione.
Zoom ha provato a metterci una serie di pezze. Ha rafforzato il proprio “bug bounty program” (il programma che premia chi dimostri l'esistenza e segnali falle) e assunto un super-esperto, Alex Stamos. Oggi docente a Stanford, è stato il capo della Sicurezza di Facebook, lasciando Menlo Park in disaccordo con i vertici sulla gestione delle influenze russe.
Il 27 aprile è iniziato il rilascio di Zoom 5.0, la nuova versione dell'app che dovrebbe porre rimedio ai problemi emersi in queste settimane. Dal 30 marzo, senza l'aggiornamento non si potrà partecipare ai meeting. La novità più importante riguarda l'adozione della crittografia Gcm, più solida della precedente. Ci sono anche funzioni aggiuntive.
Gli ospiti di una conferenza possono segnalare un utente che non ha comportamenti appropriati e una squadra di revisori appurerà “ogni possibile abuso”. I “poteri” del gestore vengono ampliati. Avrà a disposizione una “sala d'attesa”, dove far accomodare gli utenti prima di consentire l'accesso alla conversazione. Potrà decidere la complessità delle password, “chiudere” l'accesso dopo l'inizio di una riunione, estromettere i partecipanti (che non potranno più rientrare) e chiedere una registrazione per verificare l'attendibilità degli utenti.