Nowa luka w Zoom to wyciek prywatnych danych do nieznajomych
4 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Trwająca pandemia koronawirusa sprawia, że firmy polegają na aplikacjach do współpracy i wideokonferencji, takich jak Slack i Zoom. Podczas gdy Zoom cieszy się nowo odkrytą sławą, firma była również celem ataków i zajmuje się lukami w zabezpieczeniach oraz naruszeniami bezpieczeństwa.
Wcześniej dzisiaj my zgłaszane o luce w zabezpieczeniach, która pozwala każdemu, z kim rozmawiasz, ukraść dane logowania do systemu Windows. Ale już, Vice opublikował raport, w którym zidentyfikowano kolejną wadę Zoomu. Według Vice Zoom wycieka adresy e-mail, zdjęcia użytkowników i pozwala niektórym użytkownikom na inicjowanie rozmowy wideo z nieznajomymi. Wynika to z tego, jak aplikacja obsługuje kontakty, które postrzega jako pracę dla tej samej organizacji.
Podobno firma posiada funkcję o nazwie „Katalog firm”, który pozwala użytkownikom dodawać inne osoby z tej samej domeny, dzięki czemu łatwiej jest znaleźć osoby, które mogą dzwonić. Ta funkcja miała być użytkownikami wewnątrz organizacji, w której wszyscy mają tę samą nazwę domeny. Jednak oprogramowanie traktuje niektóre prywatne domeny jako część firmy i jako takie dodaje tysiące przypadkowych osób do puli, tak jakby wszyscy pracowali dla tej samej firmy, ujawniając sobie nawzajem swoje dane osobowe.
Użytkownik, który poinformował Vice o problemie, powiedział, że widzi ich pełne imiona i nazwiska, adresy e-mail, zdjęcie profilowe (jeśli je posiada), status i możesz z nimi rozmawiać wideo. Zauważył również, że aby błąd mógł zostać wykorzystany, użytkownik musi zarejestrować się za pomocą niestandardowego adresu e-mail, takiego jak xs4all.nl, dds.nl i quicknet.nl. Są to wszyscy holenderscy dostawcy usług internetowych (ISP), którzy oferują usługi e-mail.
Problem leży w ustawieniu Zoom „Katalog firmowy”, który automatycznie dodaje inne osoby do listy kontaktów użytkownika, jeśli zarejestrowali się za pomocą adresu e-mail, który ma tę samą domenę. Może to ułatwić znalezienie konkretnego współpracownika, do którego można zadzwonić, gdy domena należy do konkretnej firmy. Jednak wielu użytkowników Zoom twierdzi, że zarejestrowało się za pomocą osobistych adresów e-mail, a Zoom połączył ich z tysiącami innych osób, jakby wszyscy pracowali dla tej samej firmy, ujawniając sobie nawzajem swoje dane osobowe.
– Zastępca
Vice znalazł również przypadki innych osób, które skarżą się na ten sam problem na Twitterze. Wszyscy użytkownicy logowali się za pomocą niestandardowych holenderskich e-maili i aplikacji założyli, że są częścią firmy.
https://twitter.com/JJVLebon/status/1242175850306580486
Holenderski dostawca usług internetowych XS4ALL tweetował w odpowiedzi na skargę, „To jest coś, czego nie możemy wyłączyć. Możesz zobaczyć, czy Zoom może ci w tym pomóc”. Inny holenderski dostawca usług internetowych, DDS, powiedział Vice, że wiedział o problemie, ale nie usłyszał nic bezpośrednio od klientów. Z drugiej strony Zoom wygłosił następujące oświadczenie dla Vice:
Zoom utrzymuje czarną listę domen i regularnie proaktywnie identyfikuje domeny do dodania. Jeśli chodzi o konkretne domeny, które zaznaczyłeś w swojej notatce, są one teraz na czarnej liście.
- Powiększenie
Dodatkowo firma również wskazał na sekcję strony internetowej gdzie użytkownicy mogą zażądać usunięcia innych domen z funkcji Katalog firmowy. Niestety, to nie pierwszy raz, kiedy firma została przyłapana z opuszczonymi spodniami. W 2019 roku badacz odkrył błąd, który pozwalał hakerom przejąć kontrolę nad kamerami internetowymi bez wiedzy użytkownika.
Wcześniej EFF wskazał w jaki sposób gospodarze mogą monitorować uczestników i wiedzieć, czy okno, w którym okno Zoom jest w centrum uwagi, czy nie, a jeśli użytkownicy nagrywają rozmowę wideo, administratorzy Zoom mają „dostęp do zawartości tej nagranej rozmowy, w tym wideo, audio, transkrypcji i pliki czatu, a także dostęp do uprawnień do udostępniania, analiz i zarządzania chmurą”. W zeszłym tygodniu Zoom był przyłapany na udostępnianiu danych z Facebookiem a wczoraj my pokryty Fałszywe twierdzenia Zooma dotyczące kompleksowego szyfrowania połączeń grupowych.
aktualizacja:
W ciągu następnych 90 dni Zoom będzie wykorzystywać wszystkie swoje zasoby, aby aktywniej identyfikować, rozwiązywać i rozwiązywać problemy związane z bezpieczeństwem i prywatnością. Tak więc Zoom nie doda żadnych nowych funkcji w ciągu najbliższych 3 miesięcy. Przeprowadzi również kompleksowy przegląd z ekspertami zewnętrznymi i reprezentatywnymi użytkownikami, aby zrozumieć i zapewnić bezpieczeństwo swoich usług. Dowiedz się więcej o tym ogłoszeniu tutaj.
