Новые утечки Zoom
Популярный сервис видеоконференций Zoom допускает утечки личных данных по меньшей мере тысяч частных пользователей, пишет издание Vice. Сведения, доступ к которым могут получить посторонние лица, включают адрес электронной почты, имя и фотографию.
Проблема заключается в реализации функции «Каталог компании» (Company Directory), которая объединяет пользователей корпоративной почты. Благодаря этой функции в список контактов пользователя Zoom автоматически попадают его коллеги, что позволяет им всем видеть информацию друг о друге, а также обмениваться звонками или сообщениями.
По данным портала поддержки сервиса, критерием принадлежности нескольких пользователей к одной и той же организации Zoom считает совпадение доменного имени в адресах электронной почты. Исключение составляют публичные домены, такие как gmail.com, yahoo.com, hotmail.com и прочие. Вошедшие в сервис с использованием таких адресов не будут добавлены друг к другу в список контактов.
Тем не менее, по сообщению Vice, некоторые пользователи Zoom с персональной учетной записью обратили внимание на то, что данное правило соблюдается далеко не всегда. Почтовых ящики, заведенные на «нестандартных» или малораспространенных платформах, могут восприниматься сервисом видеоконференций как корпоративные, в результате чего все их владельцы из числа пользователей Zoom автоматически попадают в «Каталог компании» и получают доступ к обычно закрытым данным вроде полного имени, e-mail, фотографии и статуса.
Житель Нидерландов Баренд Герельс (Barend Gehrels), столкнувшийся с проблемой, рассказал изданию, что, зарегистрировавшись в Zoom, он обнаружил в своем «Каталоге компании» 995 совершенно посторонних людей. Его подруга оказалась в схожей ситуации – среди контактов она обнаружила более 300 незнакомцев. Оба голландца пользовались сервисами электронной почты, которые принадлежат местным интернет-провайдерам – xs4all.nl, dds.nl и quicknet.nl. XS4ALL, как отмечает Vice, в курсе проблемы, но решить ее не может – для этого необходимо вмешательство со стороны Zoom. Представителям DDS также известно о ней, но они не получали жалоб от клиентов.
Представитель Zoom пояснил журналистам издания, что сервис ведет так называемый черный список доменов, который регулярно пополняется. Попавшие в него домены считаются публичными, а e-mail с их использованием не относятся Zoom к принадлежащим одной организации. Он также отметил, что домены вышеупомянутых голландских сервисов электронной почты уже были внесены в этот список, а действующие пользователи могут самостоятельно запросить исключение определенных доменов из «Каталога компании» посредством соответствующей страницы на официальном сайте Zoom.
Пользователи из России и СНГ тоже могли пострадать
Как заметили «Ведомости», популярные российские e-mail-провайдеры – «Яндекс», Mail.ru и «Рамблер» – при регистрации позволяют выбрать альтернативный домен. Некоторые адреса с такими доменами (например, @ya.ru вместо @yandex.ru) могут восприниматься Zoom в качестве корпоративных. То же касается и использования @yandex.kz и @yandex.by – казахстанского и белорусского доменных имен «Яндекса». При регистрации на @yandex.ua, альтернативных доменах «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (@list.ru, @bk.ru) сервис работает правильно, пишут «Ведомости»
По данным издания, «Яндекс» обратился в Zoom с просьбой внести домены @yandex.kz и @yandex.by в список публичных. Запрос в Zoom, помимо «Яндекса», направил и российский провайдер телекоммуникационных услуг «Эр-телеком-холдинг».
Проблемы Zoom в условиях пандемии
Популярность Zoom в начале 2020 г. существенно выросла из-за пандемии коронавируса SARS-CoV-2. По данным Washington Post, число пользователей сервиса выросло с 10 млн в сутки в декабре 2019 г. до 200 млн ежедневно в марте 2020 г. Этому способствовало введение карантина в ряде стран и массовый переход на удаленную работу и обучение.
Сервис, по словам его основателя Эрика Юаня (Eric Yuan), не был готов к столь резкому росту числа пользователей, что привело к возникновению ряда проблем безопасности. В частности, о попадании нескольких тысяч записей видеозвонков Zoom 4 апреля 2020 г. сообщил Washington Post.
Кроме того, программа-клиент Zoom для iOS, как в конце марта 2020 г. выяснил Vice, передавала данные пользователей Facebook, Сервис быстро устранил проблему, однако это не спасло его от коллективного иска, направленного в американский суд одним из пользователей.
В начале апреля 2020 г., исследователи из Check Point, поставщика решений в области кибербезопасности, зафиксировали резкий рост числа доменов, имеющих отношение к сервису видеоконференций Zoom. Так, с января 2020 г. было зарегистрировано 1,7 тыс. содержащих слово Zoom доменов. 25% (425 доменов) из них были зарегистрированы только за предыдущие семь дней. Команда Check Point сочла 70 из этих доменов подозрительными.
В январе 2020 г. команда Check Point, опубликовала отчет, в котором доказала, что сервис видеоконференций Zoom имел недостатки в области безопасности. Согласно исследованию, хакеры могли прослушивать вызовы Zoom, генерируя и угадывая случайные числа, назначенные URL-адресам конференции Zoom. Zoom был вынужден устранить брешь в системе безопасности и изменить некоторые функции безопасности, такие как обязательная защита запланированных конференций паролем.