Сервис Zoom обвиняют в масштабной утечке данных, отсутствии сквозного шифрования и других проблемах
Специалисты, которые уже критиковали Zoom за слабую конфиденциальность, нашли новые уязвимости сервиса. Среди них — утечка личных данных, отсутствие сквозного шифрования и возможность украсть пароль учётной записи Windows, пишет Business Insider.
Издание Motherboard рассказало, что Zoom непреднамеренно объединил в один список электронные адреса нескольких тысяч пользователей из Нидерландов, которые получили доступ к персональным данным друг друга и могли начать видеозвонок.
Проблема возникла с функцией «Каталог компаний». Она автоматически добавляет других людей в список контактов пользователя, если при регистрации они указали почту с тем же доменом. «Каталог» упрощает поиск коллег, если домен принадлежит одной компании.
С середины марта пользователи Twitter сообщают, что сервис, несмотря на регистрацию в Zoom с использованием личных электронных адресов, сгруппировал их с тысячами других, как будто они все работают в одной компании, открыв доступ к их фото и почте.
Проблема коснулась нидерландских провайдеров xs4all.nl, dds.nl и quicknet.nl, которые предлагают услуги электронной почты. Они посоветовали обратиться к Zoom, так как не могли повлиять на ситуацию.
Представители сервиса рассказали, что после обращения Motherboard обновили чёрные списки доменов и исправили проблему.
Издание The Intercept рассказало, что видеозвонки в Zoom не защищены сквозным шифрованием (end to end), которое делает доступ к беседе доступным только ее участникам. Zoom заявляет, что организаторы видеоконференции могут вручную включить сквозное шифрование. Тогда участники увидят надпись «Zoom использует end to end соединение».
В разговоре с The Intercept представитель Zoom заметил, что сейчас для защиты используется технология TLS — транспортное шифрование, которое используют для защиты HTTPS-сайтов. Оно не дает получить доступ к видеочату другим пользователем, но весь аудио- и видеоконтент остается открытым для Zoom.
Исследователь по кибербезопасности Мэтью Хикки обнаружил уязвимость приложения Zoom для Windows, которая позволяет украсть данные учетной записи пользователя Windows через URL-ссылку.
При переходе по ссылке, которые участники видеоконференции отправляют друг другу в чате, Windows по умолчанию раскрывает имя пользователя и его хеш-пароль, который можно легко взломать с помощью бесплатных инструментов вроде Hashcat, отмечает издание Bleeping Computer.
Ранее стало известно, что SpaceX Илона Маска запретила сотрудникам использовать Zoom из-за опасений по поводу конфиденциальности, а в качестве альтернативы предложила созваниваться по телефону.
