Uusi Zoom-haavoittuvuus vuotaa yksityisiä tietoja tuntemattomille
4 min. lukea
Julkaistu
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Meneillään olevassa koronaviruspandemiassa yritykset luottavat työyhteistyöhön ja videoneuvottelusovelluksiin, kuten Slack ja Zoom. Vaikka Zoom on nauttinut uudesta maineestaan, yritys on myös ollut hyökkäysten kohteena ja käsittelee haavoittuvuuksia ja tietoturvaloukkauksia.
Aiemmin tänään me raportoitu Tietoturvahaavoittuvuudesta, jonka avulla kuka tahansa, jonka kanssa keskustelet, voi varastaa Windows-kirjautumistietosi. Nyt, Pahe on julkaissut raportin, joka tunnistaa toisen virheen Zoomissa. Vicen mukaan Zoom vuotaa sähköpostiosoitteita, käyttäjien kuvia ja antaa joidenkin käyttäjien aloittaa videopuhelun tuntemattomien kanssa. Tämä johtuu siitä, kuinka sovellus käsittelee yhteystietoja, joiden se katsoo toimivan samassa organisaatiossa.
Ilmeisesti yrityksellä on ominaisuus nimeltä "Yrityshakemisto", jonka avulla käyttäjät voivat lisätä muita, joilla on sama verkkotunnus, jotta se on helpompi löytää, että se voi soittaa ihmisille. Ominaisuus oli tarkoitettu käyttäjille organisaatiossa, jossa kaikilla on sama verkkotunnus. Ohjelmisto kuitenkin käsittelee joitain yksityisiä verkkotunnuksia osana yritystä, ja sellaisena se lisää tuhansia satunnaisia ihmisiä joukkoon ikään kuin he kaikki olisivat työskennelleet samalle yritykselle paljastaen henkilökohtaisia tietojaan toisilleen.
Vicelle ongelmasta vihjeen antanut käyttäjä sanoi näkevänsä heidän koko nimensä, sähköpostiosoitteensa, profiilikuvansa (jos heillä on), tilansa ja voit soittaa heille videopuhelun. Hän huomautti myös, että virheen hyödyntäminen edellyttää, että käyttäjä kirjautuu sisään epätyypillisellä sähköpostilla, kuten xs4all.nl, dds.nl ja quicknet.nl. Nämä ovat kaikki hollantilaisia Internet-palveluntarjoajia (ISP), jotka tarjoavat sähköpostipalveluita.
Ongelma piilee Zoomin "Yrityshakemisto"-asetuksessa, joka lisää automaattisesti muita ihmisiä käyttäjän yhteystietoluetteloihin, jos he kirjautuvat sähköpostiosoitteeseen, jolla on sama verkkotunnus. Tämä voi helpottaa tietyn kollegan löytämistä, jolle soittaa, kun verkkotunnus kuuluu yksittäiselle yritykselle. Mutta useat Zoomin käyttäjät kertovat rekisteröityneensä henkilökohtaisilla sähköpostiosoitteilla, ja Zoom yhdisti heidät tuhansien muiden ihmisten kanssa ikään kuin he kaikki olisivat työskennelleet samalle yritykselle paljastaen henkilökohtaiset tietonsa toisilleen.
– Varapää
Vice löysi myös tapauksia, joissa muut valittivat samasta asiasta Twitterissä. Kaikki käyttäjät kirjautuivat sisään hollantilaisilla epätyypillisillä sähköpostiviesteillä ja sovellus oletti heidän olevan osa yritystä.
https://twitter.com/JJVLebon/status/1242175850306580486
Hollantilainen ISP XS4ALL twiittasi vastauksena valitukseen, "Tätä emme voi poistaa käytöstä. Saatat nähdä, voiko Zoom auttaa sinua tässä." Toinen hollantilainen Internet-palveluntarjoaja DDS kertoi Vicelle, että se oli tietoinen ongelmasta, mutta ei ole kuullut mitään suoraan asiakkailta. Zoom puolestaan antoi Vicelle seuraavan lausunnon:
Zoom ylläpitää mustaa listaa verkkotunnuksista ja tunnistaa säännöllisesti ennakoivasti lisättävät verkkotunnukset. Huomautuksessasi korostamasi verkkotunnukset ovat nyt mustalla listalla.
- Zoomaus
Lisäksi yhtiö myös osoitti verkkosivuston osaa jossa käyttäjät voivat pyytää muiden verkkotunnusten poistamista Yrityshakemisto-ominaisuudesta. Valitettavasti tämä ei ole ensimmäinen kerta, kun yritys jää kiinni housut alaspäin. Vuonna 2019 tutkija paljasti virheen, jonka ansiosta hakkerit saattoivat hallita verkkokameroita käyttäjän tietämättä.
Aikaisemmin EKR huomautti kuinka isännät voivat tarkkailla osallistujia ja tietää, onko Zoom-ikkuna kohdistettu vai ei, ja tallentavatko käyttäjät videopuhelun, niin Zoomin järjestelmänvalvojat voivat "käyttää tallennetun puhelun sisältöä, mukaan lukien videota, ääntä, transkriptiota ja chat-tiedostoja sekä pääsyn jakamiseen, analytiikkaan ja pilvihallintaoikeuksiin. Viime viikolla Zoom oli saatu kiinni tietojen jakamisesta Facebookin kanssa ja me vasta eilen katettu Zoomin vääriä väitteitä päästä päähän -salauksesta ryhmäpuheluissa.
Päivitys:
Seuraavien 90 päivän aikana Zoom käyttää kaikkia resurssejaan parantaakseen tietoturva- ja tietosuojaongelmien tunnistamista, käsittelemistä ja korjaamista ennakoivasti. Zoom ei siis lisää uusia ominaisuuksia seuraavien kolmen kuukauden aikana. Se tekee myös kattavan arvioinnin kolmannen osapuolen asiantuntijoiden ja edustavien käyttäjien kanssa ymmärtääkseen ja varmistaakseen palvelunsa turvallisuuden. Lisätietoja tästä ilmoituksesta tätä.
