Una nueva vulnerabilidad de Zoom está filtrando datos privados a extraños
4 minuto. leer
Publicado el
Compartir este artículo
Mejorar esta guía
Lea nuestra página de divulgación para descubrir cómo puede ayudar a MSPoweruser a sostener el equipo editorial. Leer más
La pandemia de coronavirus en curso hace que las empresas dependan de la colaboración laboral y las aplicaciones de videoconferencia como Slack y Zoom. Si bien Zoom ha estado disfrutando de su nueva fama, la empresa también ha sido blanco de ataques y está lidiando con vulnerabilidades y brechas de seguridad.
hoy temprano nosotros reportaron sobre una vulnerabilidad de seguridad que permite que cualquier persona con la que chatee robe sus credenciales de inicio de sesión de Windows. Ahora, Vicio ha publicado un informe que identifica otra falla en Zoom. Según Vice, Zoom está filtrando direcciones de correo electrónico, fotos de usuarios y permitiendo que algunos usuarios inicien una videollamada con extraños. Esto se debe a cómo la aplicación maneja los contactos que percibe que trabajan para la misma organización.
Aparentemente, la compañía tiene una característica llamada “Directorio de la Empresa” que permite a los usuarios agregar a otros con el mismo dominio para que sea más fácil encontrar personas que puedan llamar. La función estaba destinada a usuarios dentro de una organización donde todos comparten el mismo nombre de dominio. Sin embargo, el software trata algunos de los dominios privados como si fueran parte de una empresa y, como tal, agrega miles de personas al azar al grupo como si todos trabajaran para la misma empresa, exponiendo su información personal entre sí.
El usuario que informó a Vice sobre el problema dijo que podía ver sus nombres completos, sus direcciones de correo electrónico, su foto de perfil (si tiene alguna), su estado y que podía llamarlos por video. También señaló que para que se explote el error, un usuario debe registrarse con un correo electrónico no estándar como xs4all.nl, dds.nl y quicknet.nl. Estos son todos los proveedores de servicios de Internet (ISP) holandeses que ofrecen servicios de correo electrónico.
El problema radica en la configuración del "Directorio de la empresa" de Zoom, que agrega automáticamente a otras personas a las listas de contactos de un usuario si se registraron con una dirección de correo electrónico que comparte el mismo dominio. Esto puede facilitar la búsqueda de un colega específico para llamar cuando el dominio pertenece a una empresa individual. Pero varios usuarios de Zoom dicen que se registraron con direcciones de correo electrónico personales, y Zoom los agrupó con miles de otras personas como si todos trabajaran para la misma empresa, exponiendo su información personal entre sí.
- Vicio
Vice también encontró instancias de otros quejándose del mismo problema en Twitter. Todos los usuarios iniciaron sesión con correos electrónicos holandeses no estándar y la aplicación asumió que formaban parte de la empresa.
https://twitter.com/JJVLebon/status/1242175850306580486
ISP holandés XS4ALL tuiteó en respuesta a una queja, “Esto es algo que no podemos desactivar. Podrías ver si Zoom puede ayudarte con esto”. Otro ISP DDS holandés le dijo a Vice que estaba al tanto del problema pero que no había escuchado nada directamente de los clientes. Zoom, por otro lado, le dio la siguiente declaración a Vice:
Zoom mantiene una lista negra de dominios e identifica regularmente de forma proactiva los dominios que se agregarán. Con respecto a los dominios específicos que destacó en su nota, ahora están en la lista negra.
- Zoom
Además, la empresa también señaló una sección del sitio web donde los usuarios pueden solicitar que se eliminen otros dominios de la función Directorio de empresas. Desafortunadamente, esta no es la primera vez que la compañía ha sido atrapada con los pantalones bajados. En 2019, un investigador descubrió un error que permitía a los piratas informáticos tomar el control de las cámaras web sin el conocimiento del usuario.
Más temprano EFF señaló cómo los anfitriones pueden monitorear a los participantes y saber si una ventana de Zoom está enfocada o no y si los usuarios graban la videollamada, entonces los administradores de Zoom pueden "acceder al contenido de esa llamada grabada, incluidos video, audio, transcripción y archivos de chat, así como acceso a privilegios de uso compartido, análisis y administración de la nube”. La semana pasada, Zoom fue atrapado compartiendo datos con Facebook y justo ayer nosotros cubierto Las afirmaciones falsas de Zoom sobre el cifrado de extremo a extremo en las llamadas grupales.
Actualizar:
Durante los próximos 90 días, Zoom utilizará todos sus recursos para identificar, abordar y solucionar mejor los problemas de seguridad y privacidad de manera proactiva. Por lo tanto, Zoom no agregará ninguna función nueva en los próximos 3 meses. También llevará a cabo una revisión exhaustiva con expertos externos y usuarios representativos para comprender y garantizar la seguridad de su servicio. Más información sobre este anuncio esta página.
