פגיעות חדשה של זום מדליפת נתונים פרטיים לזרים

למגיפת הקורונה המתמשכת חברות מסתמכות על שיתוף פעולה בעבודה ואפליקציות לשיחות ועידה בווידאו כמו Slack ו-Zoom. בעוד שזום נהנית מהתהילה החדשה שלה, החברה הייתה גם יעד להתקפות והיא מתמודדת עם נקודות תורפה והפרות אבטחה.

מוקדם יותר היום אנחנו דיווח על פגיעות אבטחה המאפשרת לכל מי שאתה צ'אט איתו לגנוב את אישורי הכניסה שלך ל-Windows. עַכשָׁיו, סגן פרסמה דוח המזהה פגם נוסף בזום. לפי Vice, זום מדליף כתובות אימייל, תמונות משתמשים ומאפשר לחלק מהמשתמשים ליזום שיחת וידאו עם זרים. זה נובע מהאופן שבו האפליקציה מטפלת באנשי קשר שהיא תופסת עובדים עבור אותו ארגון.

ככל הנראה, לחברה יש תכונה בשם "מדריך החברה" המאפשר למשתמשים להוסיף אחרים עם אותו דומיין כך שקל יותר למצוא אותו יכול להתקשר לאנשים. התכונה נועדה להיות משתמשים בתוך ארגון שבו כולם חולקים את אותו שם דומיין. עם זאת, התוכנה מתייחסת לחלק מהדומיינים הפרטיים כפי שהם היו חלק מחברה וככזו, היא מוסיפה אלפי אנשים אקראיים למאגר כאילו כולם עובדים באותה חברה, וחושפים את המידע האישי שלהם אחד לשני.

המשתמש שנתן טיפים ל-Vice בנוגע לנושא אמר שהוא יכול לראות את שמם המלא, כתובות הדואר שלהם, תמונת הפרופיל שלו (אם יש לו), הסטטוס שלהם ואתה יכול להתקשר אליהם בווידאו. הוא גם ציין שכדי שהבאג ינוצל, משתמש צריך להירשם עם אימייל לא סטנדרטי כמו xs4all.nl, dds.nl ו-quicknet.nl. כל אלה הם ספקי שירותי אינטרנט הולנדיים (ISP) המציעים שירותי דואר אלקטרוני.

הבעיה נעוצה בהגדרת "מדריך החברה" של Zoom, אשר מוסיפה אוטומטית אנשים אחרים לרשימות אנשי הקשר של משתמש אם הם נרשמו עם כתובת דואר אלקטרוני שחולקת את אותו תחום. זה יכול להקל על מציאת עמית ספציפי להתקשרות כאשר הדומיין שייך לחברה בודדת. אבל מספר משתמשי זום אומרים שהם נרשמו עם כתובות דוא"ל אישיות, וזום איחד אותם יחד עם אלפי אנשים אחרים כאילו כולם עובדים באותה חברה, וחושפים את המידע האישי שלהם זה לזה.

סגן

Vice מצאה גם מקרים של אחרים שהתלוננו על אותה בעיה בטוויטר. כל המשתמשים התחברו באמצעות מיילים הולנדיים לא סטנדרטיים והאפליקציה הניחה שהם חלק מהחברה.

https://twitter.com/JJVLebon/status/1242175850306580486

ספקית האינטרנט ההולנדית XS4ALL צייץ בתגובה לתלונה, "זה משהו שאנחנו לא יכולים להשבית. אתה יכול לראות אם זום יכול לעזור לך עם זה." ספק שירותי אינטרנט הולנדי אחר, DDS, אמר ל-Vice שהוא מודע לבעיה אך לא שמע דבר ישירות מהלקוחות. זום, לעומת זאת, נתן את ההצהרה הבאה לסגן:

זום מקיימת רשימה שחורה של דומיינים ומזהה באופן יזום דומיינים שיש להוסיף אותם. לגבי הדומיינים הספציפיים שהדגשת בהערה שלך, אלה נמצאים כעת ברשימה השחורה.

- תקריב

בנוסף, החברה גם הצביע על חלק באתר שבו משתמשים יכולים לבקש הסרת דומיינים אחרים מתכונת ספריית החברה. למרבה הצער, זו לא הפעם הראשונה שהחברה נתפסת עם המכנסיים למטה. עוד בשנת 2019, חוקר חשף באג שאפשר להאקרים להשתלט על מצלמות אינטרנט ללא ידיעת המשתמש.

מוקדם יותר EFF ציין כיצד מארחים יכולים לפקח על המשתתפים ולדעת אם חלון שחלון הזום נמצא בפוקוס או לא ואם משתמשים מקליטים את שיחת הווידאו, אז מנהלי זום יכולים "לגשת לתוכן של אותה שיחה מוקלטת, כולל וידאו, אודיו, תמלול ו קבצי צ'אט, כמו גם גישה להרשאות שיתוף, ניתוח וניהול ענן". בשבוע שעבר, זום היה נתפס בשיתוף נתונים עם פייסבוק ורק אתמול אנחנו מכוסה הטענות המזויפות של זום לגבי הצפנה מקצה לקצה בשיחות קבוצתיות.

עדכון:

במהלך 90 הימים הקרובים, זום תשתמש בכל המשאבים שלה כדי לזהות, לטפל ולתקן טוב יותר בעיות אבטחה ופרטיות באופן יזום. לכן, זום לא יוסיף תכונות חדשות בשלושת החודשים הבאים. היא גם תערוך סקירה מקיפה עם מומחי צד שלישי ומשתמשים מייצגים כדי להבין ולהבטיח את אבטחת השירות שלה. למידע נוסף על הכרזה זו כאן.