Zoom раскрывает личные данные пользователей, так как принимает их за работников одной компании

    imageФото: www.vice.com

    Сервис видеоконференций Zoom, против которого выдвинули уже целую серию претензий относительно безопасности данных пользователей, снова оказался в центре внимания СМИ. На этот раз издание Vice обнаружило, что платформа автоматически добавляет своих пользователей в контакты друг к другу и раскрывает их личные данные. Пользователи получают чужие адреса электронной почты, имена, фамилии и фотографии.

    Первоначально такая информация поступила от жителей Нидерландов, которые пользуются почтой от местных провайдеров. При регистрации с доменом @xs4all.nl новый участник получил данные 995 других пользователей с аналогичным доменом.

    Журналисты российского издания «Ведомости» решили проверить эти данные. Один из них зарегистрировался в Zoom с помощью почты на казахстанском домене yandex.kz. Когда пользователь вошел в систему, ему показали еще 999 других участников платформы с почтой на yandex.kz. В частности, ему открыли их номера телефонов.

    Затем эксперимент повторили уже с регистрацией с белорусского домена yandex.by. Результат был аналогичным.

    В последующих тестах новый пользователь смог получить данные нескольких десятков человек с адресами на @citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и @starlink.ru (провайдер Starlink).

    Zoom демонстрировал корректную работу при регистрации с украинского домена yandex.ua, а также альтернативных доменов «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (list.ru, @bk.ru).

    Как предположили в статье Vice, сервис может автоматически объединять людей с нестандартными адресами почты как пользователей корпоративной почты в «каталог компании».



    При нормальной работе алгоритма пользователь может просмотреть сведения о другом человеке или позвонить ему, только добавив его в контакты по адресу почты или номеру телефона.

    Как заявила компания, Zoom ведет черный список «публично доступных доменов», и для них функция каталога недоступна. Этот список включает адреса от Gmail, Yahoo! и Hotmail (Outlook), основные домены Яндекса, Mail.ru и «Рамблера». Но сервис не учитывает того, что некоторые из этих сервисов предлагают выбрать альтернативный бесплатный домен – list.ru от Mail.ru или @ya.ru от Яндекса.

    Компания заверила, что уже заблокировала функцию каталогов для проблемных доменов. Их владельцы также могут обратиться в Zoom для добавления в специальный список.

    Генеральный директор Zoom Эрик Юань объявил, что сервис приостанавливает развертывание новых функций и отключает некоторые из старых. Среди них – возможность следить за тем, что участники конференции делают на своих устройствах.

    Авторы статьи, однако, убедились, что российские адреса продолжают появляться в каталогах и после этого заявления.

    В Яндексе пояснили, что Zoom получает только те данные, которые пользователь самостоятельно вводит при регистрации на площадке. Однако компания уже попросила Zoom добавить адреса на доменах yandex.by и yandex.kz в список исключений. Такой же запрос направил и «Эр-телеком холдинг».

    Резкий рост популярности сервиса Zoom произошел в марте, когда сотрудников по всему миру стали массово переводить на удаленную работу из-за пандемии коронавируса. В России трафик сервиса вырос в 2-3 раза.
    См. также:

    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 11

      +19
      Реализовывать подобную функциональность методом blacklist, а не whitelist — это надо иметь особый склад ума конечно.
        +15
        Как заявила компания, Zoom ведет черный список «публично доступных доменов», и для них функция каталога недоступна.

        Трындец. Это кто вообще такое через блэклист задизайнил?

        Тут же нужно строго наоборот — администратор домена должен иметь возможность включить такой функционал для домена подтверждая владение через DNS запись, например.
          0
          А что слышно про альтернативы, тот же Blizz?
            +4

            Это можно как-то монетизировать со стороны жертвы в правовом поле США или Европы (особенно учитывая явное нарушение GDPR)?

              0
              Эти котики ещё и обижаются на всех и огрызаются.

              журналисты, мол, всё наврали


              Дальше прекрасное:


              Но заходим на сайт zoom.us/security


              Короче, зум — хороший, это мы все вокруг дураки и плохие.
                +1
                Ну и собственно SVC кодирование не требует расшифровки на стороне сервера для рассылки разным участникам конференции видео с разным битрейтом (качеством). Можно ещё на стороне кодирующего видео устройства разделить на несколько потоков, отдельно шифруемых.
                  0
                  Короче, зум — хороший, это мы все вокруг дураки и плохие.
                  Каким бы ни был Зум, участие Медузы в этой травле «вызывает вопросы». И мне не хватает моей буйной фантазии даже для гипотетических ответов — прошу помощи зала.
                  Смежные домыслы
                  Например мобильный онолитег объясняет поджоги сотовых вышек в Британии борьбой амеров с 5G-китайцами, а с Зумом кто кому чего показать (доказать?) хочет? У меня знакомый интересуется... Неужто и здесь национальность основателя является той же причиной? Но Медуза далека от IT ваще и рынка видеоконференций в частности.
                    +3
                    Иногда банан — просто банан. Люди гадают может это заказ мэйлру с icq или майкрософт с их тимс. Но мне кажется всё гораздо проще. Зум привлёк внимание небывалым ростом — пользователей, акций и т.д. И в таких условиях сильнее проявились технические недостатки. Вот пресса о них и пишет. Не только Медуза, но и Новая газета и зарубежные СМИ. Русские партнёры зума попытались было обидеться на Новую, но там настолько смешная перепалка, что важно не навредить себе фейспалмами. Они активно отрицают использование WebRTC, но из статей, которыми они кидаются в участников дискуссии следует прямо обратное. Раз уж тут господа запутались, значит и с другими доводами и обидами у них дела не очень.
                      0
                      Иногда банан — просто банан.
                      +1 безусловно, но и Медуза, и Навальный, и все остальные, кто хостится не на народ.ру — все они разборчивы, и в явные свары просто так не вступают — ибо профессионалы. Вот меня и удивила Медуза. Просто других не читаю — она не одна такая, но явно сознательно, а не по разгильдяйству поучаствовала, имхо не инсайдера.
                      Русские партнёры зума попытались
                      Да, Доктор БэПэ их уже приложил.
                  0
                  Zoom — взлет и падение. Яркое падение.
                    0
                    Акционер Zoom Video Communications Inc. Майкл Дриу (Michael Drieu) подал коллективный иск, в котором он обвинил компанию в мошенничестве и сокрытии проблем в системе безопасности, помешавших дальнейшему росту акций Zoom.

                    www.ixbt.com/news/2020/04/09/krajne-populjarnyj-na-udalenke-servis-zoom-okazalsja-nebezopasnym-.html

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое