Una nuova vulnerabilità di Zoom sta divulgando dati privati a estranei
4 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
La pandemia di coronavirus in corso ha le aziende che fanno affidamento su app di collaborazione e videoconferenza come Slack e Zoom. Mentre Zoom ha goduto della sua ritrovata fama, l'azienda è stata anche bersaglio di attacchi e sta affrontando vulnerabilità e violazioni della sicurezza.
All'inizio di oggi noi segnalati su una vulnerabilità di sicurezza che consente a chiunque con cui chatti di rubare le tue credenziali di accesso a Windows. Ora, Vice ha pubblicato un report che identifica un altro difetto in Zoom. Secondo Vice, Zoom sta perdendo indirizzi e-mail, foto degli utenti e consente ad alcuni utenti di avviare una videochiamata con estranei. Ciò è dovuto al modo in cui l'app gestisce i contatti che percepisce funzionano per la stessa organizzazione.
Apparentemente, l'azienda ha una funzione chiamata "Elenco delle aziende” che consente agli utenti di aggiungere altri con lo stesso dominio in modo che sia più facile trovarli per chiamare le persone. La funzione doveva essere utenti all'interno di un'organizzazione in cui tutti condividono lo stesso nome di dominio. Tuttavia, il software tratta alcuni dei domini privati come se facessero parte di un'azienda e, in quanto tale, aggiunge migliaia di persone casuali al pool come se lavorassero tutte per la stessa azienda, esponendo le proprie informazioni personali l'una all'altra.
L'utente che ha segnalato a Vice il problema ha detto che poteva vedere i loro nomi completi, i loro indirizzi e-mail, la loro immagine del profilo (se ce l'hanno), il loro stato e puoi videochiamarli. Ha anche notato che per sfruttare il bug, un utente deve registrarsi con un'e-mail non standard come xs4all.nl, dds.nl e quicknet.nl. Questi sono tutti fornitori di servizi Internet (ISP) olandesi che offrono servizi di posta elettronica.
Il problema risiede nell'impostazione "Directory aziendale" di Zoom, che aggiunge automaticamente altre persone agli elenchi di contatti di un utente se si sono registrati con un indirizzo e-mail che condivide lo stesso dominio. In questo modo è più facile trovare un collega specifico da chiamare quando il dominio appartiene a una singola azienda. Ma più utenti Zoom affermano di essersi registrati con indirizzi e-mail personali e Zoom li ha riuniti insieme a migliaia di altre persone come se lavorassero tutti per la stessa azienda, esponendo le proprie informazioni personali l'una all'altra.
- Vice
Vice ha anche trovato casi di altri che si lamentavano dello stesso problema su Twitter. Tutti gli utenti hanno effettuato l'accesso utilizzando e-mail non standard olandesi e l'app presumeva che facessero parte dell'azienda.
https://twitter.com/JJVLebon/status/1242175850306580486
ISP olandese XS4ALL twittato in risposta a un reclamo, “Questo è qualcosa che non possiamo disabilitare. Potresti vedere se Zoom può aiutarti in questo. Un altro ISP olandese DDS ha detto a Vice che era a conoscenza del problema ma non ha sentito nulla direttamente dai clienti. Zoom, invece, ha rilasciato a Vice la seguente dichiarazione:
Zoom mantiene una lista nera di domini e identifica regolarmente in modo proattivo i domini da aggiungere. Per quanto riguarda i domini specifici che hai evidenziato nella tua nota, quelli sono ora nella lista nera.
- Ingrandisci
Inoltre, anche l'azienda ha indicato una sezione del sito dove gli utenti possono richiedere la rimozione di altri domini dalla funzione Directory aziendale. Sfortunatamente, questa non è la prima volta che l'azienda viene beccata con i pantaloni calati. Nel 2019, un ricercatore ha scoperto un bug che consentiva agli hacker di assumere il controllo delle webcam all'insaputa dell'utente.
In precedenza EFF ha sottolineato in che modo gli host possono monitorare i partecipanti e sapere se una finestra della finestra Zoom è a fuoco o meno e se gli utenti registrano la videochiamata, gli amministratori di Zoom sono in grado di "accedere ai contenuti di quella chiamata registrata, inclusi video, audio, trascrizione e file di chat, nonché l'accesso ai privilegi di condivisione, analisi e gestione del cloud”. La scorsa settimana, Zoom è stato beccato a condividere dati con Facebook e proprio ieri noi coperto Le false affermazioni di Zoom sulla crittografia end-to-end nelle chiamate di gruppo.
Aggiornare:
Nei prossimi 90 giorni, Zoom utilizzerà tutte le sue risorse per identificare, affrontare e risolvere meglio i problemi di sicurezza e privacy in modo proattivo. Quindi, Zoom non aggiungerà nuove funzionalità nei prossimi 3 mesi. Condurrà inoltre una revisione completa con esperti di terze parti e utenti rappresentativi per comprendere e garantire la sicurezza del proprio servizio. Ulteriori informazioni su questo annuncio qui.
