Нова вразливість Zoom – витік приватних даних незнайомцям

Через триваючу пандемію коронавірусу компанії покладаються на додатки для спільної роботи та відеоконференцій, такі як Slack і Zoom. У той час як Zoom насолоджується своєю новознайденою славою, компанія також була об’єктом атак і має справу з вразливими місцями та порушеннями безпеки.

Раніше сьогодні ми повідомляє про вразливість безпеки, яка дозволяє будь-кому, з ким ви спілкуєтесь, викрасти ваші облікові дані для входу в Windows. тепер, Заступник опублікував звіт, у якому виявлено ще один недолік у Zoom. За словами Vice, Zoom розкриває електронні адреси, фотографії користувачів і дозволяє деяким користувачам ініціювати відеодзвінки з незнайомими людьми. Це пов’язано з тим, як програма обробляє контакти, які, на його думку, працюють для тієї ж організації.

Очевидно, у компанії є функція під назвою «Каталог компаній», що дозволяє користувачам додавати інших з тим самим доменом, щоб його було легше знайти, щоб телефонувати людям. Ця функція була призначена для користувачів в організації, де всі мають однакове доменне ім’я. Однак програмне забезпечення розглядає деякі приватні домени як частину компанії, і тому додає тисячі випадкових людей до пулу так, ніби всі вони працюють на одну компанію, відкриваючи свою особисту інформацію один одному.

Користувач, який повідомив Vice про проблему, сказав, що він може бачити їхні повні імена, поштові адреси, зображення профілю (якщо вони є), їхній статус, і ви можете бачити їм відеодзвінки. Він також зазначив, що для використання помилки користувачу потрібно зареєструватися за допомогою нестандартної електронної пошти, як-от xs4all.nl, dds.nl і quicknet.nl. Це всі голландські інтернет-провайдери (ISP), які пропонують послуги електронної пошти.

Проблема полягає в налаштуванні Zoom «Каталог компанії», який автоматично додає інших людей до списків контактів користувача, якщо вони зареєструвалися з адресою електронної пошти, яка має той самий домен. Це може полегшити пошук конкретного колеги, якому можна зателефонувати, якщо домен належить окремій компанії. Але кілька користувачів Zoom кажуть, що вони зареєструвалися з особистими адресами електронної пошти, і Zoom об’єднав їх разом із тисячами інших людей, ніби всі вони працювали в одній компанії, відкриваючи свою особисту інформацію один одному.

– Віце

Vice також знайшов випадки, коли інші скаржилися на ту саму проблему в Twitter. Усі користувачі входили в систему за допомогою голландських нестандартних електронних листів, і програма припускала, що вони є частиною компанії.

https://twitter.com/JJVLebon/status/1242175850306580486

Голландський провайдер XS4ALL написав у Twitter у відповідь на скаргу, «Це те, що ми не можемо вимкнути. Ви можете побачити, чи може Zoom допомогти вам у цьому». Інший голландський провайдер DDS повідомив Vice, що знає про проблему, але нічого не чув безпосередньо від клієнтів. З іншого боку, Zoom дав Vice таку заяву:

Zoom підтримує чорний список доменів і регулярно визначає домени, які потрібно додати. Що стосується конкретних доменів, які ви виділили у своїй нотатці, вони тепер у чорному списку.

- Збільшити

Крім того, компанія також вказав на розділ веб-сайту де користувачі можуть подати запит на видалення інших доменів із функції каталогу компанії. На жаль, це не перший випадок, коли компанію спіймали зі спущеними штанами. Ще в 2019 році дослідник виявив помилку, яка дозволяла хакерам брати контроль над веб-камерами без відома користувача.

Раніше EFF зазначив як господарі можуть стежити за учасниками та знати, чи знаходиться вікно Zoom у фокусі чи ні, і якщо користувачі записують відеодзвінок, то адміністратори Zoom можуть «отримувати доступ до вмісту записаного дзвінка, включаючи відео, аудіо, стенограму та файли чату, а також доступ до привілеїв спільного доступу, аналітики та управління хмарою». Минулого тижня Zoom був зловили, що ділиться даними з Facebook і тільки вчора ми покритий Підроблені заяви Zoom про наскрізне шифрування під час групових дзвінків.

Оновлення:

Протягом наступних 90 днів Zoom використовуватиме всі свої ресурси, щоб краще виявляти, вирішувати та вирішувати проблеми з безпекою та конфіденційністю. Таким чином, Zoom не додаватиме жодних нових функцій протягом наступних 3 місяців. Він також проведе всебічний огляд із сторонніми експертами та представниками користувачів, щоб зрозуміти та забезпечити безпеку своєї служби. Дізнайтеся більше про це оголошення тут.