En ny Zoom-sårbarhet läcker data från människors LinkedIn-profil

Coronavirusutbrottet har tvingat människor att förlita sig på konferensappar och det har gett Zoom en del framgångar över natten. Företaget har dock lidit av sin egen berömmelse som forskare beskrives flera Zoom relaterad sårbarheter.

Nu har The New York Times upptäckt ett potentiellt datautvinningsfel i Zoom som läcker data från människors LinkedIn-profiler. Sårbarheten drabbar de som har prenumererat på en LinkedIn-tjänst för säljprospektering, kallad LinkedIn Sales Navigator. När tjänsten har aktiverats kunde de snabbt komma åt LinkedIn-data för alla i samtalet utan att de visste om det. Uppgifterna inkluderar platser, arbetsgivarnamn och befattningar.

I tester som genomfördes förra veckan fann The Times att även när en reporter loggade in på ett Zoom-möte under pseudonymer - "Anonym" och "Jag är inte här" - kunde datautvinningsverktyget omedelbart matcha honom med hans LinkedIn-profil. Därmed avslöjade Zoom reporterns riktiga namn för en annan användare och åsidosatte hans ansträngningar att hålla det privat.

Reportrar fann också att Zoom automatiskt skickade deltagarnas personliga information till sitt datautvinningsverktyg även när ingen i ett möte hade aktiverat den. Den här veckan, till exempel, när gymnasieelever i Colorado loggade in på ett obligatoriskt videomöte för en klass, läste Zoom de fullständiga namnen och e-postadresserna till minst sex elever – och deras lärare – för eventuell användning av deras LinkedIn-profilmatchning verktyg, enligt en Times-analys av datatrafiken som Zoom skickade till en elevs konto.

- The New York Times

Tack och lov har Zoom agerat på Times-resultaten och håller på att inaktivera funktionen. I ett uttalande sa företaget att det tog användarnas integritet "extremt allvarligt" och "tar bort LinkedIn Sales Navigator för att inaktivera funktionen på vår plattform helt." I ett separat uttalande till The NYT, sa LinkedIn, att det fungerade "för att göra det lätt för medlemmar att förstå sina val över vilken information de delar" och skulle stänga av profilmatchningsfunktionen på Zoom "medan vi undersöker detta ytterligare."

Folk vet inte att det här händer och det är bara helt orättvist och vilseledande.

– Josh Golin, verkställande direktör, Kampanj för en kommersiell fri barndom

Det är en kombination av slarvig ingenjörskonst och att prioritera tillväxt. Det är väldigt tydligt att de inte har prioriterat integritet och säkerhet på det sätt som de borde ha gjort, vilket uppenbarligen är mer än lite oroande.

- Jonathan Mayer, biträdande professor (datavetenskap), Princeton University

På torsdagen skickade det ett automatiskt meddelande till användare som sa att det hade inaktiverat LinkedIns profilmatchningsfunktion "på grund av administrativa problem." "Vi kommer att meddela dig när appen återaktiveras", löd meddelandet.

Tidigare idag pausade företaget alla funktionsuppdateringar för att koncentrera sig på att åtgärda säkerhetsproblemen. Under de kommande 90 dagarna kommer Zoom att använda alla sina resurser för att bättre identifiera, åtgärda och åtgärda säkerhets- och integritetsproblem proaktivt. Så Zoom kommer inte att lägga till några nya funktioner under de kommande tre månaderna. Den kommer också att genomföra en omfattande granskning med tredjepartsexperter och representativa användare för att förstå och säkerställa säkerheten för dess tjänst. Läs mer om detta tillkännagivande här..