Фото: www.vice.comСервис видеоконференций Zoom, против которого выдвинули уже целую серию претензий относительно безопасности данных пользователей, снова оказался в центре внимания СМИ. На этот раз издание Vice обнаружило, что платформа автоматически добавляет своих пользователей в контакты друг к другу и раскрывает их личные данные. Пользователи получают чужие адреса электронной почты, имена, фамилии и фотографии.
Первоначально такая информация поступила от жителей Нидерландов, которые пользуются почтой от местных провайдеров. При регистрации с доменом @xs4all.nl новый участник получил данные 995 других пользователей с аналогичным доменом.
Журналисты российского издания «Ведомости» решили проверить эти данные. Один из них зарегистрировался в Zoom с помощью почты на казахстанском домене yandex.kz. Когда пользователь вошел в систему, ему показали еще 999 других участников платформы с почтой на yandex.kz. В частности, ему открыли их номера телефонов.
Затем эксперимент повторили уже с регистрацией с белорусского домена yandex.by. Результат был аналогичным.
В последующих тестах новый пользователь смог получить данные нескольких десятков человек с адресами на @citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и @starlink.ru (провайдер Starlink).
Zoom демонстрировал корректную работу при регистрации с украинского домена yandex.ua, а также альтернативных доменов «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (list.ru, @bk.ru).
Как предположили в статье Vice, сервис может автоматически объединять людей с нестандартными адресами почты как пользователей корпоративной почты в «каталог компании».
При нормальной работе алгоритма пользователь может просмотреть сведения о другом человеке или позвонить ему, только добавив его в контакты по адресу почты или номеру телефона.
Как заявила компания, Zoom ведет черный список «публично доступных доменов», и для них функция каталога недоступна. Этот список включает адреса от Gmail, Yahoo! и Hotmail (Outlook), основные домены Яндекса, Mail.ru и «Рамблера». Но сервис не учитывает того, что некоторые из этих сервисов предлагают выбрать альтернативный бесплатный домен – list.ru от Mail.ru или @ya.ru от Яндекса.
Компания заверила, что уже заблокировала функцию каталогов для проблемных доменов. Их владельцы также могут обратиться в Zoom для добавления в специальный список.
Генеральный директор Zoom Эрик Юань объявил, что сервис приостанавливает развертывание новых функций и отключает некоторые из старых. Среди них – возможность следить за тем, что участники конференции делают на своих устройствах.
Авторы статьи, однако, убедились, что российские адреса продолжают появляться в каталогах и после этого заявления.
В Яндексе пояснили, что Zoom получает только те данные, которые пользователь самостоятельно вводит при регистрации на площадке. Однако компания уже попросила Zoom добавить адреса на доменах yandex.by и yandex.kz в список исключений. Такой же запрос направил и «Эр-телеком холдинг».
Резкий рост популярности сервиса Zoom произошел в марте, когда сотрудников по всему миру стали массово переводить на удаленную работу из-за пандемии коронавируса. В России трафик сервиса вырос в 2-3 раза.
См. также:
- «Zoom убрал код, который отправлял данные о пользователе в Facebook»
- «Zoom уличили в отсутствии сквозного шифрования. Вместо него компания использует TLS»
- «В Zoom обнаружена уязвимость, способная привести к компрометации учетных записей Windows»
- ««Как в „Черном зеркале“»: Стартап Bird уволил более 400 сотрудников во время вебинара Zoom»
- «SpaceX запретила сотрудникам использовать программу Zoom»
- «Как Zoom стала самой важной компанией в эпоху коронавируса»
- «Jitsi Meet: опенсорсная альтернатива «шпионскому» видеоприложению Zoom»
