company_banner

SpaceX запретила сотрудникам использовать программу Zoom


    Обманное сообщение в приложении Zoom

    Компания SpaceX запретила своим сотрудникам использовать приложение для видеоконференцсвязи Zoom из-за «значительных проблем конфиденциальности и безопасности». Уведомление разослано по внутренней почте через несколько дней после того, как американские правоохранительные органы предупредили пользователей о безопасности популярного приложения.

    За последние три месяца количество пользователей Zoom выросло в двадцать раз: с 10 млн до 200 млн человек. Одновременно в программе обнаружен десяток новых уязвимостей и сомнительных функций. Среди них — автоматическая установка на компьютер без участия пользователя, автоматическое добавление в контакты посторонних лиц, удалённое получение рута под macOS, автоматическое преобразования путей к файлам в кликабельные ссылки (для получения хэшей NetNTLM от жертвы под Windows) и др.

    SpaceX стала одной из первых компаний, которые официально запретили это конкретное приложение. Запрет иллюстрирует, с какими проблемами сталкиваются те компании, которые ведут важные технологические разработки и пытаются сохранить конфиденциальность коммуникаций. С массовым переходом на удалённую работу это стало гораздо труднее сделать.

    Несмотря на массу уязвимостей, программой Zoom продолжают пользоваться миллионы человек. Некоторые беспечно публикуют Meeting ID в открытом доступе, как это сделал Борис Джонсон, премьер-министр Великобритании, со своего десктопа под Windows 10.


    Премьер-министр Великобритании опубликовал скриншот Zoom с указанием Meeting ID 539-544-323, что даёт хакерам несколько вариантов для взлома

    В электронном письме от 28 марта компания SpaceX сообщила сотрудникам, что они должны немедленно прекратить использование программы Zoom:

    «Мы понимаем, что многие из нас использовали этот инструмент для проведения конференций и собраний, — говорится в сообщении SpaceX. — Пожалуйста, используйте электронную почту, текст или телефон в качестве альтернативного средства связи».

    Два источника, знакомых с ситуацией, подтвердили Reuters содержание письма.

    Пресс-секретарь американского космического агентства НАСА подтвердила, что агентство тоже запрещает своим сотрудникам использовать Zoom.

    27 марта 2020 года бостонское отделение Федерального бюро расследований выпустило предупреждение, попросив пользователей не публиковать ссылки на конференции Zoom в открытом доступе. ФБР получило сообщения о двух фактах вторжения неизвестных лиц на школьные занятия. Это явление называют «зумбомбинг» (zoombombing).

    28 марта The Intercept опубликовало расследование о том, что видеоконференции Zoom не используют оконечное шифрование между участниками встречи, а только TLS, в результате чего можно внедряться на конференции через серверы компании. В то же время на официальном сайте фирма утверждала, что сеансы защищены end-to-end шифрованием.



    Пришлось внести изменения в документацию и извиниться перед пользователями: «Мы хотим начать с извинений за путаницу, которую мы вызвали, неверно указав, что конференции Zoom способны использовать сквозное шифрование, — оправдывается компания в официальном блоге. — Zoom всегда стремился использовать шифрование в максимально возможном количестве сценариев, поэтому мы использовали термин "сквозное шифрование"».

    SpaceX является подрядчиком министерства обороны и НАСА, а сейчас ведёт испытания ракеты Starship, которая должна доставить людей на Луну и Марс.

    С начала 2020 года капитализация Zoom выросла вдвое и сейчас достигла $38,22 млрд. На фоне скандала с приватностью курс акций скорректировался примерно на 10%.

    В последней версии компания Zoom внесла изменение в код, а также в интерфейс. Оконечное шифрование больше не упоминается, но используется формулировка «Ваше клиентское соединение зашифровано» (Your client connection is encrypted).
    ITSumma
    Собираем безумных людей и вместе спасаем интернет

    Комментарии 20

      +8
      Zoom всегда стремился использовать шифрование в максимально возможном количестве сценариев, поэтому мы использовали термин «сквозное шифрование»


      Так нелепо только дети и подростки отмазываются XD
        +3
        У нас шифрование не просто end-to-end, а end-to-end-to-end!
        0
        «Мы понимаем, что многие из нас использовали этот инструмент для проведения конференций и собраний, — говорится в сообщении SpaceX. — Пожалуйста, используйте электронную почту, текст или телефон в качестве альтернативного средства связи».

        Как здорово! Я тоже всем говорю, хотите что-то сказать или обсудить, то либо встреча, либо электронная почта или телефон. В чем меня только не обвиняют, и отсталый, и не знаешь и не понимаешь и т.д. и т.п. Начинают говорить как это здорово использовать то и то.
        И тут такая новость. Спасибо.

          +1
          Нуачо в высокотехнологичной Японии вон факсами до сих пор любят пользоваться. Чисто национальный феномен. www.bbc.com/russian/business/2015/11/151103_japan_old_tech
            0
            Еще во времена фидо взламывались эти факсы, прослушивались офисы, сообщения на нем и пр. Я думаю, что японцы пользуются факсами не из соображений безопасности.
              0
              Нет, дело не в безопасности. Я давно читал статью — у них там просто менталитет такой — больше доверия к оффлайновым документам. Как бы это не было смешно для страны с хайтеком переднего края. Да вообще Япония — «отдельная планета». Люди книжки целые пишут про приколы «загадочной японской души».
              0
              Японцы SMS и MMS использовали до последнего, когда весь мир уже перешел на сторонние мессенджеры.
                –2
                Весь мир — это кто? Я вот до сих пор получаю смс для двухуровневой авторизации или с инфой от оператора. А вот сторонние мессенджеры вообще ни одна из известных мне организаций не использует.
                  0
                  Вы правы, стоило уточнить — японцы использовали SMS и MMS до последнего для переписки и общения. И это при том, что переписка по телефону в Японии популярнее чем в большинстве стран, ибо многие пользуются общественным транспортом, а разговор вслух по телефону в общественном месте считается моветоном.
                  0
                  У японцев не было смс вообще. Они использовали вместо них i-mode емейлы.
                    0
                    Было, я лично работал над этим проектом уже после выхода i-mode (2010-2015). i-mode они быстро забросили.
              +1

              Шифрование end-to-end, только концы заканчиваются на стороне Zoom серверов. Не придерешься!

                0
                Некоторые беспечно публикуют Meeting ID в открытом доступе, как это сделал Борис Джонсон, премьер-министр Великобритании, со своего десктопа под Windows 10.


                Прекрасно. Пользователь должен знать, что нельзя публиковать Митинг-ИД.
                Супер-секьюрность :).
                  0
                  Почему не hangouts?
                    0
                    Технически end2end в видеоконференицях ужастно. Это же все видео потоки гнать отдельно и на каждом клиенте разжимать. Даже на десяток человек далеко не каждый комп такое потянет. А ведь еще телефоны бывают. И на них тоже надо работать.

                    Я их даже понимаю. Маркетологи сказали так чтобы хорошо продавалось, технари сделали так чтобы хорошо работало.
                      0
                      Это не совсем верно. В данном случае вы описали схему которая первой приходит в голову и так действительно НЕ нужно делать.
                      В реальности существуют разные схемы. Ну, например вот тут можно почитать.
                      www.akamai.com/uk/en/multimedia/documents/technical-publication/multi-rate-peer-to-peer-video-conferencing-a-distributed-approach-using-scalable-coding-technical-publication.pdf

                      Люди забывают, что количество данных туда-сюда одинакого в обоих сценариях. Но в случае с централльным сервером он берет на себя всю нагрузку и является точкой отказа. В случае p2p точки отказа нет и нагрузка размазывается между пирами.
                        0
                        А ещё нужно учитывать, что когда участники конференции не активны, им достаточно передавать пониженное разрешение для демонстрации thumbnail. И что, как правило, активный участник в конференции только один.
                        В таком случае P2P связность уже не кажется такой громоздкой.
                          0
                          В теории это все возможно конечно. Только вот нормально работающих реализаций мне не попадалось. Все что нормально работает шифрует только клиент-сервер.
                          Подскате такую?
                          Условия: телефон, не очень древний но и не топ. Мобильный интернет. Хороший, но без изысков. Конференция на 10-15 человек должна работать хорошо.
                        0
                        Стоит ли использовать Дискорд как альтернативу?
                          0
                          огромная компания для внутренней связи не может себе приложение разработать…

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое