O nouă vulnerabilitate Zoom transmite date private către străini
4 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Pandemia de coronavirus în curs de desfășurare le face pe companii să se bazeze pe colaborare în muncă și pe aplicații de videoconferință precum Slack și Zoom. În timp ce Zoom se bucură de noua sa faimă, compania a fost, de asemenea, o țintă a atacurilor și se confruntă cu vulnerabilități și breșe de securitate.
Mai devreme azi noi raportate despre o vulnerabilitate de securitate care permite oricărei persoane cu care conversați să vă fure acreditările de conectare Windows. Acum, Viciu a publicat un raport care identifică un alt defect în Zoom. Potrivit Vice, Zoom divulgă adrese de e-mail, fotografii ale utilizatorilor și le permite unor utilizatori să inițieze un apel video cu străini. Acest lucru se datorează modului în care aplicația gestionează contactele pe care le percepe ca lucrează pentru aceeași organizație.
Aparent, compania are o caracteristică numită „Directorul companiilor” care permite utilizatorilor să adauge alții cu același domeniu, astfel încât să fie mai ușor de găsit să poată apela oamenii. Caracteristica a fost menită să fie utilizatori dintr-o organizație în care toată lumea împărtășește același nume de domeniu. Cu toate acestea, software-ul tratează unele dintre domeniile private ca făcând parte dintr-o companie și, ca atare, adaugă mii de oameni aleatoriu la grup ca și cum ar lucra cu toții pentru aceeași companie, expunându-și informațiile personale unul altuia.
Utilizatorul care i-a informat Vice despre această problemă a spus că le poate vedea numele complete, adresele de e-mail, fotografia de profil (dacă are vreuna), starea lor și le puteți apela video. El a remarcat, de asemenea, că, pentru ca eroarea să fie exploatată, un utilizator trebuie să se înregistreze cu un e-mail non-standard, cum ar fi xs4all.nl, dds.nl și quicknet.nl. Aceștia sunt toți furnizorii de servicii de internet (ISP) olandezi care oferă servicii de e-mail.
Problema constă în setarea „Directorul companiei” a Zoom, care adaugă automat alte persoane la listele de contacte ale unui utilizator dacă s-au înscris cu o adresă de e-mail care partajează același domeniu. Acest lucru poate face mai ușor să găsiți un anumit coleg pe care să îl suni atunci când domeniul aparține unei companii individuale. Însă mai mulți utilizatori Zoom spun că s-au înscris cu adrese de e-mail personale, iar Zoom le-a pus împreună cu mii de alte persoane, ca și cum ar lucra cu toții pentru aceeași companie, expunându-și informațiile personale unul altuia.
- Viciu
Vice a găsit, de asemenea, cazuri în care alții s-au plâns de aceeași problemă pe Twitter. Toți utilizatorii s-au conectat folosind e-mailuri olandeze non-standard, iar aplicația a presupus că fac parte din companie.
https://twitter.com/JJVLebon/status/1242175850306580486
ISP olandez XS4ALL a postat pe Twitter ca răspuns la o plângere, „Acesta este ceva ce nu putem dezactiva. Ai putea vedea dacă Zoom te poate ajuta cu asta.” Un alt ISP olandez DDS a spus lui Vice că este la curent cu această problemă, dar nu a auzit nimic direct de la clienți. Zoom, pe de altă parte, a dat următoarea declarație lui Vice:
Zoom menține o listă neagră de domenii și identifică în mod regulat proactiv domeniile care urmează să fie adăugate. În ceea ce privește domeniile specifice pe care le-ați evidențiat în nota dvs., acestea sunt acum pe lista neagră.
- Zoom
În plus, compania de asemenea a indicat o secțiune a site-ului web unde utilizatorii pot solicita ca alte domenii să fie eliminate din caracteristica Director de companie. Din păcate, aceasta nu este prima dată când compania este prinsă cu pantalonii jos. În 2019, un cercetător a descoperit o eroare care le-a permis hackerilor să preia controlul asupra camerelor web fără știrea utilizatorului.
Mai devreme A subliniat EFF cum gazdele pot monitoriza participanții și știu dacă o fereastră în fereastra Zoom este focalizată sau nu și dacă utilizatorii înregistrează apelul video, atunci administratorii Zoom pot „accesa conținutul acelui apel înregistrat, inclusiv video, audio, transcriere și fișiere de chat, precum și acces la privilegii de partajare, analiză și gestionare în cloud”. Săptămâna trecută, Zoom a fost prins împărtășind date cu Facebook și chiar ieri noi acoperit Afirmațiile false ale Zoom despre criptarea end-to-end a apelurilor de grup.
Actualizați:
În următoarele 90 de zile, Zoom își va folosi toate resursele pentru a identifica, aborda și remedia mai bine problemele de securitate și confidențialitate în mod proactiv. Prin urmare, Zoom nu va adăuga funcții noi în următoarele 3 luni. De asemenea, va efectua o analiză cuprinzătoare cu experți terți și utilizatori reprezentativi pentru a înțelege și a asigura securitatea serviciului său. Aflați mai multe despre acest anunț aici.
