Une nouvelle vulnérabilité de Zoom divulgue des données privées à des inconnus
4 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
La pandémie de coronavirus en cours oblige les entreprises à s'appuyer sur des applications de collaboration professionnelle et de visioconférence comme Slack et Zoom. Alors que Zoom jouit de sa nouvelle renommée, la société a également été la cible d'attaques et fait face à des vulnérabilités et des failles de sécurité.
Plus tôt aujourd'hui, nous rapporté à propos d'une faille de sécurité qui permet à toute personne avec qui vous discutez de voler vos identifiants de connexion Windows. À présent, Vice a publié un rapport qui identifie une autre faille dans Zoom. Selon Vice, Zoom divulgue des adresses e-mail, des photos d'utilisateurs et permet à certains utilisateurs de lancer un appel vidéo avec des inconnus. Cela est dû à la façon dont l'application gère les contacts qui, selon elle, travaillent pour la même organisation.
Apparemment, la société a une fonctionnalité appelée "Annuaire d'entreprises” qui permet aux utilisateurs d'ajouter d'autres personnes avec le même domaine afin qu'il soit plus facile de trouver des personnes pouvant appeler. La fonctionnalité était destinée aux utilisateurs au sein d'une organisation où tout le monde partage le même nom de domaine. Cependant, le logiciel traite certains des domaines privés comme s'ils faisaient partie d'une entreprise et, à ce titre, il ajoute des milliers de personnes aléatoires au pool comme si elles travaillaient toutes pour la même entreprise, exposant leurs informations personnelles les unes aux autres.
L'utilisateur qui a informé Vice du problème a déclaré qu'il pouvait voir leurs noms complets, leurs adresses e-mail, leur photo de profil (le cas échéant), leur statut et vous pouvez les appeler par vidéo. Il a également noté que pour que le bogue soit exploité, un utilisateur doit s'inscrire avec un e-mail non standard comme xs4all.nl, dds.nl et quicknet.nl. Ce sont tous des fournisseurs de services Internet (FAI) néerlandais qui proposent des services de messagerie.
Le problème réside dans le paramètre "Annuaire de l'entreprise" de Zoom, qui ajoute automatiquement d'autres personnes aux listes de contacts d'un utilisateur s'ils se sont inscrits avec une adresse e-mail partageant le même domaine. Cela peut faciliter la recherche d'un collègue spécifique à appeler lorsque le domaine appartient à une entreprise individuelle. Mais plusieurs utilisateurs de Zoom disent s'être inscrits avec des adresses e-mail personnelles, et Zoom les a regroupées avec des milliers d'autres personnes comme si elles travaillaient toutes pour la même entreprise, exposant leurs informations personnelles les unes aux autres.
- Vice
Vice a également trouvé des cas d'autres personnes se plaignant du même problème sur Twitter. Tous les utilisateurs se sont connectés en utilisant des e-mails non standard néerlandais et l'application a supposé qu'ils faisaient partie de l'entreprise.
https://twitter.com/JJVLebon/status/1242175850306580486
FAI néerlandais XS4ALL tweeté en réponse à une plainte, "C'est quelque chose que nous ne pouvons pas désactiver. Vous pourriez voir si Zoom peut vous aider avec ça. Un autre FAI néerlandais DDS a déclaré à Vice qu'il était au courant du problème mais n'avait rien entendu directement des clients. Zoom, en revanche, a fait la déclaration suivante à Vice :
Zoom maintient une liste noire de domaines et identifie régulièrement de manière proactive les domaines à ajouter. En ce qui concerne les domaines spécifiques que vous avez mis en évidence dans votre note, ceux-ci sont désormais sur liste noire.
- Zoom
De plus, la société a également a pointé vers une section du site Web où les utilisateurs peuvent demander que d'autres domaines soient supprimés de la fonction Annuaire de l'entreprise. Malheureusement, ce n'est pas la première fois que l'entreprise est prise en flagrant délit. En 2019, un chercheur a découvert un bogue qui permettait aux pirates de prendre le contrôle des webcams à l'insu de l'utilisateur.
Plus tôt L'EFF a souligné comment les hôtes peuvent surveiller les participants et savoir si une fenêtre de la fenêtre Zoom est mise au point ou non et si les utilisateurs enregistrent l'appel vidéo, alors les administrateurs de Zoom peuvent "accéder au contenu de cet appel enregistré, y compris la vidéo, l'audio, la transcription et fichiers de chat, ainsi que l'accès aux privilèges de partage, d'analyse et de gestion du cloud ». La semaine dernière, Zoom était pris en train de partager des données avec Facebook et pas plus tard qu'hier nous couvert Les fausses affirmations de Zoom sur le cryptage de bout en bout des appels de groupe.
Mettre à jour:
Au cours des 90 prochains jours, Zoom utilisera toutes ses ressources pour mieux identifier, traiter et résoudre les problèmes de sécurité et de confidentialité de manière proactive. Ainsi, Zoom n'ajoutera aucune nouvelle fonctionnalité au cours des 3 prochains mois. Il procédera également à un examen complet avec des experts tiers et des utilisateurs représentatifs pour comprendre et assurer la sécurité de son service. En savoir plus sur cette annonce ici.
