Een nieuwe Zoom-kwetsbaarheid lekt privégegevens naar vreemden

Door de aanhoudende coronaviruspandemie zijn bedrijven afhankelijk van werksamenwerking en videoconferentie-apps zoals Slack en Zoom. Terwijl Zoom geniet van zijn hernieuwde bekendheid, is het bedrijf ook een doelwit geweest van aanvallen en heeft het te maken met kwetsbaarheden en beveiligingsinbreuken.

Eerder vandaag hebben we gerapporteerd over een beveiligingsprobleem waardoor iedereen met wie u chat, uw Windows-aanmeldingsgegevens kan stelen. Nutsvoorzieningen, Vice heeft een rapport gepubliceerd dat een andere fout in Zoom identificeert. Volgens Vice lekt Zoom e-mailadressen en gebruikersfoto's en staan ​​sommige gebruikers toe een videogesprek met vreemden te starten. Dit komt door de manier waarop de app omgaat met contacten die volgens hem voor dezelfde organisatie werken.

Blijkbaar heeft het bedrijf een functie genaamd "Bedrijfsmap” waarmee gebruikers anderen met hetzelfde domein kunnen toevoegen, zodat het gemakkelijker te vinden is om mensen te bellen. De functie was bedoeld voor gebruikers binnen een organisatie waar iedereen dezelfde domeinnaam deelt. De software behandelt sommige van de privédomeinen echter alsof ze deel uitmaakten van een bedrijf en als zodanig voegt het duizenden willekeurige mensen toe aan de pool alsof ze allemaal voor hetzelfde bedrijf werkten, waarbij hun persoonlijke informatie aan elkaar wordt blootgesteld.

De gebruiker die Vice een tip gaf over het probleem, zei dat hij hun volledige namen, hun e-mailadressen, hun profielfoto (als ze die hebben), hun status kon zien en dat je ze kunt videobellen. Hij merkte ook op dat om de bug te misbruiken, een gebruiker zich moet aanmelden met een niet-standaard e-mail zoals xs4all.nl, dds.nl en quicknet.nl. Dit zijn allemaal Nederlandse internet service providers (ISP's) die e-maildiensten aanbieden.

Het probleem ligt in de instelling "Bedrijfslijst" van Zoom, die automatisch andere mensen toevoegt aan de contactenlijst van een gebruiker als ze zich hebben aangemeld met een e-mailadres dat hetzelfde domein deelt. Dit kan het gemakkelijker maken om een ​​specifieke collega te vinden om te bellen wanneer het domein van een individueel bedrijf is. Maar meerdere Zoom-gebruikers zeggen dat ze zich hebben aangemeld met persoonlijke e-mailadressen, en Zoom heeft ze samengevoegd met duizenden andere mensen alsof ze allemaal voor hetzelfde bedrijf werkten, waarbij ze hun persoonlijke informatie aan elkaar blootstelden.

- Zonde

Vice vond ook gevallen van anderen die over hetzelfde probleem klaagden op Twitter. Alle gebruikers logden in met Nederlandse niet-standaard e-mails en de app ging ervan uit dat ze deel uitmaakten van het bedrijf.

https://twitter.com/JJVLebon/status/1242175850306580486

Nederlandse ISP XS4ALL getweet naar aanleiding van een klacht, “Dit is iets wat we niet kunnen uitschakelen. Je zou kunnen kijken of Zoom je hierbij kan helpen.” Een andere Nederlandse ISP DDS vertelde Vice dat het op de hoogte was van het probleem, maar niets rechtstreeks van de klanten had gehoord. Zoom daarentegen gaf de volgende verklaring aan Vice:

Zoom houdt een zwarte lijst bij van domeinen en identificeert regelmatig proactief domeinen die moeten worden toegevoegd. Met betrekking tot de specifieke domeinen die u in uw notitie hebt gemarkeerd, staan ​​deze nu op de zwarte lijst.

- Zoomen

Daarnaast heeft het bedrijf ook wees naar een gedeelte van de website waar gebruikers kunnen verzoeken dat andere domeinen worden verwijderd uit de functie Bedrijfsdirectory. Helaas is dit niet de eerste keer dat het bedrijf met de broek naar beneden wordt betrapt. In 2019 ontdekte een onderzoeker een bug waardoor hackers de controle over webcams konden overnemen zonder medeweten van de gebruiker.

Vroeger EFF wees op hoe hosts de deelnemers kunnen volgen en weten of een venster het Zoom-venster in focus is of niet en als gebruikers het videogesprek opnemen, dan hebben Zoom-beheerders "toegang tot de inhoud van dat opgenomen gesprek, inclusief video, audio, transcript en chatbestanden, evenals toegang tot privileges voor delen, analyse en cloudbeheer”. Zoom was vorige week betrapt op het delen van gegevens met Facebook en gisteren hebben we bedekt Zoom's valse beweringen over end-to-end encryptie bij groepsgesprekken.

update:

In de komende 90 dagen zal Zoom al zijn middelen gebruiken om proactief beveiligings- en privacyproblemen beter te identificeren, aan te pakken en op te lossen. Zoom zal dus de komende 3 maanden geen nieuwe functies toevoegen. Het zal ook een uitgebreide evaluatie uitvoeren met externe experts en representatieve gebruikers om de veiligheid van zijn service te begrijpen en te waarborgen. Meer informatie over deze aankondiging hier.