Een nieuwe Zoom-kwetsbaarheid lekt gegevens uit het LinkedIn-profiel van mensen

De uitbraak van het coronavirus heeft mensen gedwongen te vertrouwen op vergader-apps en dat heeft Zoom van de ene op de andere dag succes opgeleverd. Het bedrijf lijdt echter onder zijn eigen bekendheid als onderzoekers bekendgemaakt verscheidene Zoom verwant kwetsbaarheden.

Nu heeft The New York Times een mogelijke datamining-bug ontdekt in Zoom die gegevens lekt van LinkedIn-profielen van mensen. Het beveiligingslek treft degenen die zich hebben geabonneerd op een LinkedIn-service voor verkoopprospectie, genaamd LinkedIn Sales Navigator. Zodra de service is ingeschakeld, hadden ze snel toegang tot LinkedIn-gegevens van iedereen die aan het gesprek was zonder dat ze het wisten. De gegevens omvatten locaties, werkgeversnamen en functietitels.

In tests die vorige week werden uitgevoerd, ontdekte The Times dat zelfs wanneer een verslaggever zich aanmeldde bij een Zoom-vergadering onder pseudoniemen - "Anoniem" en "Ik ben hier niet" - de dataminingtool hem onmiddellijk kon koppelen aan zijn LinkedIn-profiel. Daarbij onthulde Zoom de echte naam van de verslaggever aan een andere gebruiker, en negeerde zijn pogingen om deze privé te houden.

Verslaggevers ontdekten ook dat Zoom automatisch persoonlijke informatie van deelnemers naar zijn datamining-tool stuurde, zelfs als niemand in een vergadering deze had geactiveerd. Deze week, bijvoorbeeld, toen middelbare scholieren in Colorado zich aanmeldden voor een verplichte videovergadering voor een klas, maakte Zoom de volledige namen en e-mailadressen van ten minste zes studenten - en hun leraar - klaar voor mogelijk gebruik door zijn LinkedIn-profielovereenkomst tool, blijkt uit een Times-analyse van het dataverkeer dat Zoom naar het account van een student stuurde.

– De New York Times

Gelukkig heeft Zoom gereageerd op de bevindingen van de Times en is bezig met het uitschakelen van de functie. In een verklaring zei het bedrijf dat het de privacy van gebruikers "uiterst serieus" nam en "de LinkedIn Sales Navigator verwijderde om de functie op ons platform volledig uit te schakelen." In een afzonderlijke verklaring aan The NYT zei LinkedIn dat het werkte "om het leden gemakkelijk te maken om hun keuzes te begrijpen over welke informatie ze delen" en de functie voor het matchen van profielen op Zoom zou opschorten "terwijl we dit verder onderzoeken".

Mensen weten niet dat dit gebeurt en dat is gewoon volkomen oneerlijk en bedrieglijk.

– Josh Golin, uitvoerend directeur, Campagne voor een bedrijfstakvrije kindertijd

Het is een combinatie van slordige engineering en prioriteit geven aan groei. Het is heel duidelijk dat ze geen prioriteit hebben gegeven aan privacy en veiligheid zoals ze zouden moeten hebben, wat natuurlijk meer dan een beetje zorgwekkend is.

- Jonathan Mayer, Universitair docent (Informatica), Princeton University

Donderdag stuurde het een geautomatiseerd bericht naar gebruikers waarin stond dat het de functie voor het matchen van LinkedIn-profielen had uitgeschakeld "vanwege administratieve problemen". "We zullen u op de hoogte stellen wanneer de app opnieuw wordt ingeschakeld", stond in het bericht.

Eerder vandaag heeft het bedrijf alle functie-updates onderbroken om zich te concentreren op het oplossen van de beveiligingsproblemen. In de komende 90 dagen zal Zoom al zijn middelen gebruiken om proactief beveiligings- en privacyproblemen beter te identificeren, aan te pakken en op te lossen. Zoom zal dus de komende 3 maanden geen nieuwe functies toevoegen. Het zal ook een uitgebreide evaluatie uitvoeren met externe experts en representatieve gebruikers om de veiligheid van zijn service te begrijpen en te waarborgen. Meer informatie over deze aankondiging hier.