A Anvisa (Agência Nacional de Vigilância Sanitária), um dos órgãos públicos na linha de frente do combate à pandemia do novo coronavírus (covid-19), proibiu o uso da ferramenta de videoconferência Zoom nos computadores da agência. De acordo com o órgão, falhas de segurança foram identificadas no aplicativo.
Zoom é uma plataforma que vem ganhando popularidade desde o início da pandemia com seu serviço de videoconferência. Ele funciona gratuitamente por um período limitado e sem prazo para quem assina um pacote.
A área de tecnologia da informação da Anvisa teria tomado contato com análises de especialistas em segurança cibernética em fóruns internacionais nas quais foram apontadas falhas graves de segurança no recurso Zoom meeting.
Essas vulnerabilidades podem ser exploradas por invasores, que conseguiriam acessar a câmera e o microfone de usuários, bem como os conteúdos das reuniões realizadas por meio deste recurso.
O próprio diretor executivo da empresa responsável pela ferramenta, Eric Yuan, reconheceu as falhas, informando que a equipe está buscando adotar medidas para qualificar a estrutura de segurança do programa.
Yuan declarou que a companhia não conseguiu assegurar mecanismos adequados diante do aumento exponencial da base de usuários. Entre dezembro e abril, o número de pessoas utilizando o recurso saiu de 10 milhões para 200 milhões.
"Nós admitimos que frustramos as expectativas de privacidade nossa e da comunidade. Por isso, peço desculpas e divido que estamos fazendo algo a respeito”, escreveu no blog da empresa em 1º de abril.
Entre essas falhas estava o fato de que a empresa repassava dados dos seus usuários ao Facebook, mesmo quando estes não possuíam uma conta na rede social.
Em entrevista a diversos meios de comunicação nos Estados Unidos neste fim-de-semana, o diretor executivo voltou a afirmar que a empresa está atuando para tentar resolver os problemas.
Uma das providências mencionadas por Yuan foi a interrupção do repasse de dados ao Facebook. Outros rastreadores e ferramentas de monitoramento também foram retiradas ou pararam de coletar dados, como uma relacionada à rede social Linkedin.
A política de privacidade foi atualizada no dia 29 de março. Segundo a empresa, para deixar claro que ela não vende dados a terceiros, embora esta seja apenas uma das formas de abuso na coleta e tratamento de dados de clientes.