Nova ranjivost Zooma propušta privatne podatke strancima

Zbog pandemije koronavirusa koja je u tijeku, tvrtke se oslanjaju na radnu suradnju i aplikacije za video konferencije kao što su Slack i Zoom. Dok Zoom uživa svoju novostečenu slavu, tvrtka je također bila meta napada te se nosi s ranjivostima i kršenjem sigurnosti.

Ranije danas smo izvijestio o sigurnosnoj ranjivosti koja omogućuje svakome s kim razgovarate da ukrade vaše vjerodajnice za Windows Login. Sada, Zamjenik je objavio izvješće koje identificira još jedan nedostatak u Zoomu. Prema Viceu, Zoom propušta adrese e-pošte, korisničke fotografije i dopušta nekim korisnicima da iniciraju videopoziv sa strancima. To je zbog načina na koji aplikacija rukuje kontaktima za koje smatra da rade za istu organizaciju.

Očigledno, tvrtka ima značajku pod nazivom "Imenik poduzeća” koji omogućuje korisnicima da dodaju druge s istom domenom kako bi ih lakše pronašli i mogli nazvati ljude. Značajka je trebala biti korisnici unutar organizacije u kojoj svi dijele isti naziv domene. Međutim, softver tretira neke od privatnih domena kao da su bile dio tvrtke i kao takav dodaje tisuće nasumičnih ljudi u skup kao da svi rade za istu tvrtku, izlažući svoje osobne podatke jedni drugima.

Korisnik koji je dojavio Viceu o problemu rekao je da može vidjeti njihova puna imena, njihove e-mail adrese, njihovu profilnu sliku (ako ih ima), njihov status i da ih možete pozvati putem video-poziva. Također je napomenuo da se korisnik mora prijaviti s nestandardnom e-poštom kao što su xs4all.nl, dds.nl i quicknet.nl da bi se bug iskoristio. Sve su to nizozemski davatelji internetskih usluga (ISP) koji nude usluge e-pošte.

Problem leži u Zoomovoj postavci “Company Directory”, koja automatski dodaje druge osobe na popise kontakata korisnika ako su se prijavili s adresom e-pošte koja dijeli istu domenu. To može olakšati pronalaženje određenog kolege za poziv kada domena pripada pojedinoj tvrtki. No, više korisnika Zooma kaže da su se prijavili s osobnim adresama e-pošte, a Zoom ih je udružio s tisućama drugih ljudi kao da svi rade za istu tvrtku, izlažući svoje osobne podatke jedni drugima.

– Porok

Vice je također pronašao slučajeve da su se drugi žalili na isti problem na Twitteru. Svi su se korisnici prijavili koristeći nizozemske nestandardne e-mailove i aplikacija je pretpostavila da su dio tvrtke.

https://twitter.com/JJVLebon/status/1242175850306580486

Nizozemski ISP XS4ALL tweetao kao odgovor na pritužbu, “Ovo je nešto što ne možemo onemogućiti. Mogli biste vidjeti može li vam Zoom pomoći u tome.” Drugi nizozemski ISP DDS rekao je za Vice da je svjestan problema, ali nije čuo ništa izravno od kupaca. Zoom je, s druge strane, Viceu dao sljedeću izjavu:

Zoom održava crni popis domena i redovito proaktivno identificira domene koje treba dodati. Što se tiče određenih domena koje ste istaknuli u svojoj bilješci, one su sada na crnoj listi.

- Zumiraj

Osim toga, tvrtka također pokazao na dio web stranice gdje korisnici mogu zatražiti uklanjanje drugih domena iz značajke Imenika tvrtke. Nažalost, ovo nije prvi put da je tvrtka uhvaćena spuštenih hlača. Još 2019. godine istraživač je otkrio bug koji je hakerima omogućio da preuzmu kontrolu nad web kamerama bez znanja korisnika.

Ranije EFF je istaknuo kako domaćini mogu pratiti sudionike i znati je li prozor Zoom prozor u fokusu ili ne i ako korisnici snimaju videopoziv, tada Zoom administratori mogu „pristupiti sadržaju tog snimljenog poziva, uključujući video, audio, transkript i chat datoteke, kao i pristup dijeljenju, analitici i privilegijama upravljanja oblakom”. Prošli tjedan je Zoom bio uhvaćen kako dijeli podatke s Facebookom a tek jučer smo pokriven Zoomove lažne tvrdnje o end-to-end enkripciji u grupnim pozivima.

Update:

Tijekom sljedećih 90 dana Zoom će koristiti sve svoje resurse kako bi bolje identificirao, riješio i proaktivno riješio probleme sigurnosti i privatnosti. Dakle, Zoom neće dodavati nove značajke u sljedeća 3 mjeseca. Također će provesti sveobuhvatan pregled sa stručnjacima trećih strana i reprezentativnim korisnicima kako bi razumio i osigurao sigurnost svoje usluge. Saznajte više o ovoj objavi ovdje.