En ny Zoom-sårbarhet lekker data fra folks LinkedIn-profil

Koronavirusutbruddet har tvunget folk til å stole på konferanseapper, og det har gitt Zoom en viss suksess over natten. Imidlertid har selskapet lidd under sin egen berømmelse som forskere avslørt flere Zoom i slekt sårbarheter.

Nå har The New York Times oppdaget en potensiell datautvinningsfeil i Zoom som lekker data fra folks LinkedIn-profiler. Sårbarheten rammer de som har abonnert på en LinkedIn-tjeneste for salgsprospektering, kalt LinkedIn salgsnavigator. Når tjenesten er aktivert, kan de raskt få tilgang til LinkedIn-data til alle i samtalen uten at de vet om det. Dataene inkluderer lokasjoner, arbeidsgivernavn og stillingsbetegnelser.

I tester utført forrige uke fant The Times at selv når en reporter logget på et Zoom-møte under pseudonymer – «Anonym» og «Jeg er ikke her» — var datautvinningsverktøyet i stand til å matche ham umiddelbart med LinkedIn-profilen hans. Ved å gjøre dette avslørte Zoom reporterens virkelige navn til en annen bruker, og overstyrte hans forsøk på å holde det privat.

Reportere fant også ut at Zoom automatisk sendte deltakernes personlige opplysninger til datautvinningsverktøyet, selv når ingen i et møte hadde aktivert den. Denne uken, for eksempel, da videregående skoleelever i Colorado logget på et obligatorisk videomøte for en klasse, leste Zoom opp de fulle navnene og e-postadressene til minst seks elever – og læreren deres – for mulig bruk av LinkedIn-profilen. verktøy, ifølge en Times-analyse av datatrafikken som Zoom sendte til en studentkonto.

- New York Times

Heldigvis har Zoom handlet på Times-funnene og er i ferd med å deaktivere funksjonen. I en uttalelse sa selskapet at det tok brukernes personvern "ekstremt alvorlig" og "fjerner LinkedIn Sales Navigator for å deaktivere funksjonen på plattformen vår fullstendig." I en egen uttalelse gitt til The NYT, sa LinkedIn, at det fungerte "for å gjøre det enkelt for medlemmene å forstå valgene deres over hvilken informasjon de deler" og ville suspendere profilsamsvarsfunksjonen på Zoom "mens vi undersøker dette nærmere."

Folk vet ikke at dette skjer, og det er bare helt urettferdig og villedende.

– Josh Golin, administrerende direktør, Kampanje for en kommersiell barndom

Det er en kombinasjon av slurvete prosjektering og prioritering av vekst. Det er helt tydelig at de ikke har prioritert personvern og sikkerhet på den måten de burde ha gjort, noe som åpenbart er mer enn litt bekymringsfullt.

- Jonathan Mayer, assisterende professor (datavitenskap), Princeton University

På torsdag sendte den en automatisk melding til brukere som sa at den hadde deaktivert LinkedIn-profilmatchingsfunksjonen "på grunn av administrative problemer." «Vi vil varsle deg når appen er aktivert på nytt», sto det i meldingen.

Tidligere i dag stoppet selskapet alle funksjonsoppdateringer for å konsentrere seg om å fikse sikkerhetsproblemene. I løpet av de neste 90 dagene vil Zoom bruke alle ressursene sine for å bedre identifisere, adressere og fikse sikkerhets- og personvernproblemer proaktivt. Så Zoom vil ikke legge til noen nye funksjoner i løpet av de neste 3 månedene. Den vil også gjennomføre en omfattende gjennomgang med tredjepartseksperter og representative brukere for å forstå og sikre sikkerheten til tjenesten. Finn ut mer om denne kunngjøringen her..