Yeni bir Zoom güvenlik açığı, özel verileri yabancılara sızdırıyor
4 dk. okuman
Yayınlandı
Bu makaleyi paylaş
Bu kılavuzu geliştirin
MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla
Devam eden koronavirüs pandemisi, Slack ve Zoom gibi iş birliği ve video konferans uygulamalarına güvenen şirketlere sahip. Zoom yeni keşfedilen şöhretinin tadını çıkarırken, şirket aynı zamanda saldırıların hedefi oldu ve güvenlik açıkları ve güvenlik ihlalleriyle uğraşıyor.
Bugün erken saatlerde rapor sohbet ettiğiniz herkesin Windows Oturum Açma kimlik bilgilerinizi çalmasına izin veren bir güvenlik açığı hakkında. Şimdi, Mengene Zoom'daki başka bir kusuru tanımlayan bir rapor yayınladı. Vice'a göre Zoom, e-posta adreslerini, kullanıcı fotoğraflarını sızdırıyor ve bazı kullanıcıların yabancılarla görüntülü görüşme başlatmasına izin veriyor. Bunun nedeni, uygulamanın aynı kuruluş için çalıştığını algıladığı kişileri nasıl ele aldığıdır.
Görünüşe göre şirketin “Şirket Rehberi”, kullanıcıların aynı etki alanına sahip başkalarını eklemesine olanak tanır, böylece daha kolay bulunabilen kişileri arayabilir. Bu özelliğin, herkesin aynı alan adını paylaştığı bir kuruluştaki kullanıcılar olması gerekiyordu. Bununla birlikte, yazılım bazı özel alan adlarına bir şirketin parçasıymış gibi davranıyor ve bu nedenle, sanki hepsi aynı şirket için çalışıyormuş gibi havuza rastgele binlerce insanı ekleyerek kişisel bilgilerini birbirine ifşa ediyor.
Vice'a konu hakkında bilgi veren kullanıcı, tam adlarını, mail adreslerini, profil resimlerini (varsa), durumlarını görebildiğini ve görüntülü arama yapabileceğinizi söyledi. Ayrıca, hatanın kullanılması için bir kullanıcının xs4all.nl, dds.nl ve quicknet.nl gibi standart olmayan bir e-posta ile kaydolması gerektiğini de kaydetti. Bunların tümü, e-posta hizmetleri sunan Hollandalı internet servis sağlayıcılarıdır (ISS'ler).
Sorun, Zoom'un, aynı etki alanını paylaşan bir e-posta adresiyle kaydolan diğer kişileri kullanıcının kişi listelerine otomatik olarak ekleyen "Şirket Dizini" ayarında yatmaktadır. Bu, alan adı tek bir şirkete ait olduğunda aranacak belirli bir iş arkadaşı bulmayı kolaylaştırabilir. Ancak birden fazla Zoom kullanıcısı, kişisel e-posta adresleriyle kaydolduklarını söylüyor ve Zoom, onları sanki hepsi aynı şirkette çalışıyormuş gibi binlerce kişiyle bir araya getirerek kişisel bilgilerini birbirine ifşa ediyor.
– Yardımcısı
Vice ayrıca Twitter'da aynı sorundan şikayet eden başkalarının örneklerini de buldu. Tüm kullanıcılar standart olmayan Hollanda e-postalarını kullanarak oturum açtı ve uygulama, şirketin bir parçası olduklarını varsaydı.
https://twitter.com/JJVLebon/status/1242175850306580486
Hollandalı ISP XS4ALL bir şikayete yanıt olarak tweet attı, “Bu, devre dışı bırakamayacağımız bir şey. Zoom'un bu konuda size yardımcı olup olamayacağını görebilirsiniz.” Başka bir Hollandalı ISP DDS, Vice'a sorunun farkında olduğunu ancak müşterilerden doğrudan bir şey duymadığını söyledi. Zoom ise Vice'a şu açıklamayı yaptı:
Zoom, etki alanlarının kara listesini tutar ve eklenecek etki alanlarını düzenli olarak proaktif olarak tanımlar. Notunuzda vurguladığınız belirli alanlarla ilgili olarak, bunlar artık kara listeye alındı.
- Yakınlaştır
Ayrıca, şirket ayrıca web sitesinin bir bölümünü işaret etti burada kullanıcılar diğer etki alanlarının Şirket Dizini özelliğinden kaldırılmasını isteyebilir. Ne yazık ki, bu şirketin pantolonu aşağıdayken ilk kez yakalanması değil. 2019'da bir araştırmacı, bilgisayar korsanlarının kullanıcının bilgisi olmadan web kameralarının kontrolünü ele geçirmesine izin veren bir hatayı ortaya çıkardı.
Daha erken EFF işaret etti toplantı sahiplerinin katılımcıları nasıl izleyebileceği ve bir pencerenin Zoom penceresinin odakta olup olmadığını ve kullanıcıların görüntülü aramayı kaydedip kaydetmediğini nasıl bilebileceği, o zaman Zoom yöneticileri "video, ses, konuşma metni ve sohbet dosyalarının yanı sıra paylaşım, analiz ve bulut yönetimi ayrıcalıklarına erişim". Geçen hafta Zoom, Facebook ile veri paylaşırken yakalandı ve daha dün biz kaplı Zoom'un grup aramalarında uçtan uca şifrelemeyle ilgili düzmece iddiaları.
Güncelleme:
Önümüzdeki 90 gün boyunca Zoom, güvenlik ve gizlilik sorunlarını proaktif olarak daha iyi belirlemek, ele almak ve düzeltmek için tüm kaynaklarını kullanacak. Bu nedenle Zoom, önümüzdeki 3 ay içinde herhangi bir yeni özellik eklemeyecek. Ayrıca, hizmetinin güvenliğini anlamak ve sağlamak için üçüncü taraf uzmanlar ve temsilci kullanıcılarla kapsamlı bir inceleme yapacaktır. Bu duyuru hakkında daha fazla bilgi edinin okuyun.
