ช่องโหว่ใหม่ของ Zoom ทำให้ข้อมูลส่วนตัวรั่วไหลไปยังคนแปลกหน้า

การระบาดใหญ่ของ coronavirus ที่เกิดขึ้นอย่างต่อเนื่องทำให้บริษัทต่างๆ ต้องอาศัยการทำงานร่วมกันและแอปการประชุมทางวิดีโอ เช่น Slack และ Zoom แม้ว่า Zoom จะได้รับชื่อเสียงที่เพิ่งค้นพบใหม่ แต่บริษัทก็ยังตกเป็นเป้าหมายของการโจมตีและกำลังจัดการกับช่องโหว่และการละเมิดความปลอดภัย

ก่อนหน้านี้วันนี้เรา รายงาน เกี่ยวกับช่องโหว่ด้านความปลอดภัยซึ่งทำให้ทุกคนที่คุณแชทด้วยสามารถขโมยข้อมูลรับรองการเข้าสู่ระบบ Windows ของคุณได้ ตอนนี้, รอง ได้เผยแพร่รายงานที่ระบุข้อบกพร่องอื่นใน Zoom ตามที่ Vice ระบุ Zoom กำลังทำให้ที่อยู่อีเมล รูปภาพของผู้ใช้รั่วไหล และอนุญาตให้ผู้ใช้บางคนสามารถเริ่มแฮงเอาท์วิดีโอกับคนแปลกหน้าได้ นี่เป็นเพราะวิธีที่แอพจัดการผู้ติดต่อที่รับรู้ว่าทำงานสำหรับองค์กรเดียวกัน

เห็นได้ชัดว่าบริษัทมีคุณสมบัติที่เรียกว่า “สารบบบริษัท” ที่อนุญาตให้ผู้ใช้เพิ่มผู้อื่นในโดเมนเดียวกันเพื่อให้ค้นหาผู้คนได้ง่ายขึ้น คุณลักษณะนี้มีขึ้นเพื่อเป็นผู้ใช้ภายในองค์กรที่ทุกคนใช้ชื่อโดเมนเดียวกัน อย่างไรก็ตาม ซอฟต์แวร์กำลังจัดการโดเมนส่วนตัวบางส่วนเนื่องจากเป็นส่วนหนึ่งของบริษัท และด้วยเหตุนี้ จึงสุ่มเพิ่มผู้คนหลายพันคนลงในพูล ราวกับว่าพวกเขาทั้งหมดทำงานให้กับบริษัทเดียวกัน โดยเปิดเผยข้อมูลส่วนบุคคลให้กันและกัน

ผู้ใช้ที่แจ้ง Vice เกี่ยวกับปัญหานี้ กล่าวว่าเขาสามารถเห็นชื่อเต็ม ที่อยู่อีเมล รูปโปรไฟล์ (ถ้ามี) สถานะของพวกเขา และคุณสามารถแฮงเอาท์วิดีโอได้ เขายังตั้งข้อสังเกตอีกว่าเพื่อให้เกิดข้อผิดพลาด ผู้ใช้ต้องลงทะเบียนด้วยอีเมลที่ไม่ได้มาตรฐานเช่น xs4all.nl, dds.nl และ quicknet.nl เหล่านี้คือผู้ให้บริการอินเทอร์เน็ต (ISP) ของเนเธอร์แลนด์ทั้งหมดที่ให้บริการอีเมล

ปัญหาอยู่ในการตั้งค่า "ไดเรกทอรีบริษัท" ของ Zoom ซึ่งจะเพิ่มบุคคลอื่นลงในรายชื่อผู้ติดต่อของผู้ใช้โดยอัตโนมัติ หากพวกเขาลงทะเบียนด้วยที่อยู่อีเมลที่ใช้โดเมนเดียวกัน วิธีนี้จะช่วยให้ค้นหาเพื่อนร่วมงานที่ต้องการโทรหาได้ง่ายขึ้นเมื่อโดเมนนั้นเป็นของบริษัทแต่ละแห่ง แต่ผู้ใช้ Zoom หลายคนบอกว่าพวกเขาลงทะเบียนด้วยที่อยู่อีเมลส่วนตัว และ Zoom ได้รวมพวกเขาเข้ากับคนอื่นๆ อีกหลายพันคน ราวกับว่าพวกเขาทั้งหมดทำงานให้กับบริษัทเดียวกัน โดยเปิดเผยข้อมูลส่วนบุคคลให้กันและกัน

– รอง

Vice ยังพบกรณีของผู้อื่นที่บ่นเกี่ยวกับปัญหาเดียวกันบน Twitter ผู้ใช้ทั้งหมดลงชื่อเข้าใช้ด้วยอีเมลที่ไม่เป็นไปตามมาตรฐานของเนเธอร์แลนด์ และแอปก็ถือว่าพวกเขาเป็นส่วนหนึ่งของบริษัท

https://twitter.com/JJVLebon/status/1242175850306580486

ISP ดัตช์ XS4ALL ทวีตเพื่อตอบสนองต่อการร้องเรียน, “นี่คือสิ่งที่เราไม่สามารถปิดการใช้งานได้ คุณสามารถดูว่า Zoom สามารถช่วยคุณได้หรือเปล่า” DDS ISP ของเนเธอร์แลนด์อีกรายบอก Vice ว่าทราบเกี่ยวกับปัญหาแล้ว แต่ยังไม่ได้รับการติดต่อจากลูกค้าโดยตรง ในทางกลับกัน Zoom ได้ให้คำกล่าวต่อไปนี้แก่ Vice:

Zoom รักษาบัญชีดำของโดเมนและระบุโดเมนที่จะเพิ่มในเชิงรุกอย่างสม่ำเสมอ สำหรับโดเมนเฉพาะที่คุณไฮไลต์ไว้ในบันทึกย่อของคุณ ขณะนี้โดเมนเหล่านั้นอยู่ในบัญชีดำ

- ซูม

นอกจากนี้บริษัทยัง ชี้ไปที่ส่วนของเว็บไซต์ ที่ผู้ใช้สามารถขอให้ลบโดเมนอื่นออกจากคุณสมบัติไดเรกทอรีของบริษัท น่าเสียดาย นี่ไม่ใช่ครั้งแรกที่ บริษัท ถูกจับโดยกางเกงของตน ย้อนกลับไปในปี 2019 นักวิจัยค้นพบข้อบกพร่องที่อนุญาตให้แฮ็กเกอร์ควบคุมเว็บแคมโดยที่ผู้ใช้ไม่ทราบ

ก่อน EFF ชี้ให้เห็น วิธีที่โฮสต์สามารถตรวจสอบผู้เข้าร่วมและรู้ว่าหน้าต่างที่หน้าต่าง Zoom อยู่ในโฟกัสหรือไม่ และหากผู้ใช้บันทึกการสนทนาทางวิดีโอ ผู้ดูแลระบบ Zoom สามารถ "เข้าถึงเนื้อหาของการโทรที่บันทึกไว้ ซึ่งรวมถึงวิดีโอ เสียง การถอดเสียง และ ไฟล์แชท ตลอดจนการเข้าถึงการแบ่งปัน การวิเคราะห์ และสิทธิ์ในการจัดการระบบคลาวด์” สัปดาห์ที่แล้ว Zoom เป็น จับได้แชร์ข้อมูลกับ Facebook และเมื่อวานนี้เรา ปกคลุม การอ้างสิทธิ์ปลอมของ Zoom เกี่ยวกับการเข้ารหัสแบบ end-to-end ในการโทรแบบกลุ่ม

ปรับปรุง:

ในอีก 90 วันข้างหน้า Zoom จะใช้ทรัพยากรทั้งหมดของตนเพื่อระบุ แก้ไข และแก้ไขปัญหาด้านความปลอดภัยและความเป็นส่วนตัวในเชิงรุกได้ดียิ่งขึ้น ดังนั้น Zoom จะไม่เพิ่มคุณสมบัติใหม่ใดๆ ในอีก 3 เดือนข้างหน้า นอกจากนี้ยังจะดำเนินการตรวจสอบอย่างครอบคลุมกับผู้เชี่ยวชาญจากภายนอกและตัวแทนผู้ใช้เพื่อทำความเข้าใจและรับรองความปลอดภัยของบริการ เรียนรู้เพิ่มเติมเกี่ยวกับประกาศนี้ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.