A Zoom új biztonsági rése személyes adatokat szivárog ki idegenekhez

A jelenleg is zajló koronavírus-járvány miatt a vállalatok olyan munka- és videokonferencia-alkalmazásokra támaszkodnak, mint a Slack és a Zoom. Míg a Zoom élvezi újdonsült hírnevét, a vállalat támadások célpontja is volt, és a sebezhetőségekkel és a biztonsági megsértésekkel küzd.

Ma korábban mi jelentett egy biztonsági résről, amely lehetővé teszi, hogy bárki, akivel cseveg, ellopja a Windows bejelentkezési adatait. Most, Helyettes közzétett egy jelentést, amely a Zoom egy másik hibáját azonosítja. A Vice szerint a Zoom e-mail címeket, felhasználói fotókat szivárogtat ki, és lehetővé teszi egyes felhasználók számára, hogy videohívást kezdeményezzenek idegenekkel. Ennek az az oka, hogy az alkalmazás hogyan kezeli azokat a névjegyeket, amelyekről úgy gondolja, hogy ugyanazon szervezetnél működnek.

Úgy tűnik, a cég rendelkezik egy „Vállalati könyvtár", amely lehetővé teszi a felhasználók számára, hogy másokat is hozzáadjanak ugyanazzal a domainnel, így könnyebben megtalálhatja az embereket. A funkciót olyan szervezeten belüli felhasználóknak szánták, ahol mindenki ugyanazt a domain nevet használja. A szoftver azonban egyes magándomaineket egy cég részeként kezel, és mint ilyen, véletlenszerű emberek ezreit ad hozzá a csoporthoz, mintha mindannyian ugyanannak a cégnek dolgoznának, és így egymásnak tárják fel személyes adataikat.

A felhasználó, aki tippet adott a Vice-nek a problémával kapcsolatban, azt mondta, láthatja teljes nevüket, e-mail címüket, profilképüket (ha van), állapotukat, és videohívást is kezdeményezhet. Azt is megjegyezte, hogy a hiba kihasználásához a felhasználónak egy nem szabványos e-mail-címmel kell regisztrálnia, mint például az xs4all.nl, dds.nl és quicknet.nl. Ezek mind holland internetszolgáltatók (ISP), amelyek e-mail szolgáltatásokat kínálnak.

A probléma a Zoom „Vállalati címtár” beállításában rejlik, amely automatikusan felvesz más embereket a felhasználó névjegyzékébe, ha olyan e-mail címmel regisztráltak, amely ugyanazon a domainen osztozik. Ez megkönnyítheti egy adott kollégát, akit fel lehet hívni, ha a domain egy egyéni céghez tartozik. De több Zoom-felhasználó azt állítja, hogy személyes e-mail címekkel regisztráltak, és a Zoom több ezer emberrel egyesítette őket, mintha mindannyian ugyanannak a cégnek dolgoznának, így személyes adataikat egymásnak tárták fel.

– Vice

Vice arra is talált példákat, hogy mások panaszkodtak ugyanerről a problémáról a Twitteren. Valamennyi felhasználó nem szabványos holland e-mailekkel jelentkezett be, és az alkalmazás azt feltételezte, hogy a vállalat része.

https://twitter.com/JJVLebon/status/1242175850306580486

Holland ISP XS4ALL – tweetelt egy panaszra reagálva, „Ezt nem tudjuk letiltani. Láthatod, hogy a Zoom segíthet-e ebben.” Egy másik holland internetszolgáltató, DDS azt mondta a Vice-nek, hogy tudott a problémáról, de közvetlenül nem hallott semmit az ügyfelektől. A Zoom viszont a következő nyilatkozatot adta Vice-nak:

A Zoom feketelistát vezet a domainekről, és rendszeresen proaktívan azonosítja a hozzáadandó domaineket. Ami a jegyzetében kiemelt domaineket illeti, ezek most tiltólistán vannak.

- Nagyítás

Ráadásul a cég is mutatott a webhely egy részére ahol a felhasználók kérhetik más domainek eltávolítását a Vállalati címtár funkcióból. Sajnos nem ez az első eset, hogy lehúzott nadrággal kapják el a céget. Még 2019-ben egy kutató feltárt egy hibát, amely lehetővé tette a hackerek számára, hogy a felhasználó tudta nélkül átvehessék az irányítást a webkamerák felett.

Korábban Az EFF rámutatott hogyan tudják a házigazdák figyelni a résztvevőket, és megtudják, hogy a Zoom ablak fókuszban van-e vagy sem, és hogy a felhasználók rögzítik-e a videohívást, akkor a Zoom rendszergazdák „hozzáférhetnek a rögzített hívás tartalmához, beleértve a videót, a hangot, az átiratot és csevegési fájlokat, valamint hozzáférést a megosztási, elemzési és felhőkezelési jogosultságokhoz”. Múlt héten a Zoom volt rajtakapták, hogy adatokat osztanak meg a Facebookkal és éppen tegnap mi fedett A Zoom hamis állításai a csoportos hívások végpontok közötti titkosításáról szólnak.

Frissítés:

A következő 90 nap során a Zoom minden erőforrását felhasználja a biztonsági és adatvédelmi problémák jobb azonosítására, kezelésére és proaktív megoldására. Tehát a Zoom nem ad hozzá új funkciókat a következő 3 hónapban. Ezenkívül átfogó felülvizsgálatot végez harmadik fél szakértőivel és reprezentatív felhasználókkal, hogy megértse és biztosítsa szolgáltatása biztonságát. Tudjon meg többet erről a bejelentésről itt.