Kerentanan Zoom baru membocorkan data pribadi ke orang asing

Pandemi virus corona yang sedang berlangsung membuat perusahaan mengandalkan kolaborasi kerja dan aplikasi konferensi video seperti Slack dan Zoom. Sementara Zoom telah menikmati ketenarannya yang baru ditemukan, perusahaan juga telah menjadi target serangan dan berurusan dengan kerentanan dan pelanggaran keamanan.

Sebelumnya hari ini kita melaporkan tentang kerentanan keamanan yang memungkinkan siapa pun yang Anda ajak ngobrol mencuri kredensial Login Windows Anda. Sekarang, Wakil telah menerbitkan laporan yang mengidentifikasi kelemahan lain di Zoom. Menurut Vice, Zoom membocorkan alamat email, foto pengguna, dan memungkinkan beberapa pengguna untuk melakukan panggilan video dengan orang asing. Ini karena cara aplikasi menangani kontak yang dianggap berfungsi untuk organisasi yang sama.

Rupanya, perusahaan memiliki fitur yang disebut “Direktori Perusahaan” yang memungkinkan pengguna untuk menambahkan orang lain dengan domain yang sama sehingga lebih mudah untuk menemukan dapat menelepon orang. Fitur ini dimaksudkan untuk menjadi pengguna di dalam organisasi tempat setiap orang berbagi nama domain yang sama. Namun, perangkat lunak ini memperlakukan beberapa domain pribadi karena mereka adalah bagian dari sebuah perusahaan dan dengan demikian, menambahkan ribuan orang secara acak ke dalam kumpulan seolah-olah mereka semua bekerja untuk perusahaan yang sama, memperlihatkan informasi pribadi mereka satu sama lain.

Pengguna yang memberi tahu Vice tentang masalah ini mengatakan bahwa dia dapat melihat nama lengkap mereka, alamat email mereka, gambar profil mereka (jika ada), status mereka dan Anda dapat melakukan panggilan video kepada mereka. Dia juga mencatat bahwa untuk bug yang akan dieksploitasi, pengguna perlu mendaftar dengan email non-standar seperti xs4all.nl, dds.nl, dan quicknet.nl. Ini semua adalah penyedia layanan internet Belanda (ISP) yang menawarkan layanan email.

Masalahnya terletak pada pengaturan "Direktori Perusahaan" Zoom, yang secara otomatis menambahkan orang lain ke daftar kontak pengguna jika mereka mendaftar dengan alamat email yang berbagi domain yang sama. Hal ini dapat mempermudah untuk menemukan rekan kerja tertentu untuk dihubungi saat domain tersebut milik perusahaan individu. Tetapi beberapa pengguna Zoom mengatakan bahwa mereka mendaftar dengan alamat email pribadi, dan Zoom menyatukannya dengan ribuan orang lain seolah-olah mereka semua bekerja untuk perusahaan yang sama, memperlihatkan informasi pribadi mereka satu sama lain.

- Keburukan

Vice juga menemukan contoh orang lain yang mengeluh tentang masalah yang sama di Twitter. Semua pengguna masuk menggunakan email non-standar Belanda dan aplikasi berasumsi bahwa mereka adalah bagian dari perusahaan.

https://twitter.com/JJVLebon/status/1242175850306580486

ISP Belanda XS4ALL tweeted sebagai tanggapan atas keluhan, “Ini adalah sesuatu yang tidak dapat kami nonaktifkan. Anda dapat melihat apakah Zoom dapat membantu Anda dalam hal ini.” DDS ISP Belanda lainnya memberi tahu Vice bahwa mereka mengetahui masalah ini tetapi belum mendengar apa pun secara langsung dari pelanggan. Zoom, di sisi lain, memberikan pernyataan berikut kepada Vice:

Zoom mengelola daftar hitam domain dan secara proaktif mengidentifikasi domain yang akan ditambahkan. Berkenaan dengan domain tertentu yang Anda soroti dalam catatan Anda, domain tersebut sekarang masuk daftar hitam.

- Perbesar

Selain itu, perusahaan juga menunjuk ke bagian situs web di mana pengguna dapat meminta domain lain untuk dihapus dari fitur Direktori Perusahaan. Sayangnya, ini bukan pertama kalinya perusahaan tertangkap basah. Kembali pada tahun 2019, seorang peneliti menemukan bug yang memungkinkan peretas mengendalikan webcam tanpa sepengetahuan pengguna.

Terdahulu EFF menunjukkan bagaimana tuan rumah dapat memantau peserta dan mengetahui apakah jendela jendela Zoom dalam fokus atau tidak dan jika pengguna merekam panggilan video, maka administrator Zoom dapat “mengakses konten panggilan yang direkam itu, termasuk video, audio, transkrip, dan file obrolan, serta akses ke berbagi, analitik, dan hak istimewa manajemen cloud”. Minggu lalu, Zoom adalah ketahuan berbagi data dengan Facebook dan baru kemarin kita tercakup Klaim palsu Zoom tentang enkripsi ujung ke ujung pada panggilan grup.

Update:

Selama 90 hari ke depan, Zoom akan menggunakan semua sumber dayanya untuk mengidentifikasi, menangani, dan memperbaiki masalah keamanan dan privasi dengan lebih baik secara proaktif. Jadi, Zoom tidak akan menambahkan fitur baru dalam 3 bulan ke depan. Ini juga akan melakukan tinjauan komprehensif dengan pakar pihak ketiga dan pengguna perwakilan untuk memahami dan memastikan keamanan layanannya. Pelajari lebih lanjut tentang pengumuman ini di sini.