- Специальный корреспондент
Сервис видеоконференций Zoom, резко набравший популярность во время пандемии коронавируса, раскрывает личные данные пользователей, которых ошибочно принимает за коллег. Среди пострадавших могут быть россияне и жители стран СНГ.
Новые утечки Zoom
Популярный сервис видеоконференций Zoom допускает утечки личных данных по меньшей мере тысяч частных пользователей, пишет издание Vice. Сведения, доступ к которым могут получить посторонние лица, включают адрес электронной почты, имя и фотографию.
Проблема заключается в реализации функции «Каталог компании» (Company Directory), которая объединяет пользователей корпоративной почты. Благодаря этой функции в список контактов пользователя Zoom автоматически попадают его коллеги, что позволяет им всем видеть информацию друг о друге, а также обмениваться звонками или сообщениями.
По данным портала поддержки сервиса, критерием принадлежности нескольких пользователей к одной и той же организации Zoom считает совпадение доменного имени в адресах электронной почты. Исключение составляют публичные домены, такие как gmail.com, yahoo.com, hotmail.com и прочие. Вошедшие в сервис с использованием таких адресов не будут добавлены друг к другу в список контактов.
Тем не менее, по сообщению Vice, некоторые пользователи Zoom с персональной учетной записью обратили внимание на то, что данное правило соблюдается далеко не всегда. Почтовых ящики, заведенные на «нестандартных» или малораспространенных платформах, могут восприниматься сервисом видеоконференций как корпоративные, в результате чего все их владельцы из числа пользователей Zoom автоматически попадают в «Каталог компании» и получают доступ к обычно закрытым данным вроде полного имени, e-mail, фотографии и статуса.
Баренд Герельс обнаружил в списке контактов около 1 тыс. совершенно посторонних людей
Житель Нидерландов Баренд Герельс (Barend Gehrels), столкнувшийся с проблемой, рассказал изданию, что, зарегистрировавшись в Zoom, он обнаружил в своем «Каталоге компании» 995 совершенно посторонних людей. Его подруга оказалась в схожей ситуации – среди контактов она обнаружила более 300 незнакомцев. Оба голландца пользовались сервисами электронной почты, которые принадлежат местным интернет-провайдерам – xs4all.nl, dds.nl и quicknet.nl. XS4ALL, как отмечает Vice, в курсе проблемы, но решить ее не может – для этого необходимо вмешательство со стороны Zoom. Представителям DDS также известно о ней, но они не получали жалоб от клиентов.
Представитель Zoom пояснил журналистам издания, что сервис ведет так называемый черный список доменов, который регулярно пополняется. Попавшие в него домены считаются публичными, а e-mail с их использованием не относятся Zoom к принадлежащим одной организации. Он также отметил, что домены вышеупомянутых голландских сервисов электронной почты уже были внесены в этот список, а действующие пользователи могут самостоятельно запросить исключение определенных доменов из «Каталога компании» посредством соответствующей страницы на официальном сайте Zoom.
Пользователи из России и СНГ тоже могли пострадать
Как заметили «Ведомости», популярные российские e-mail-провайдеры – «Яндекс», Mail.ru и «Рамблер» – при регистрации позволяют выбрать альтернативный домен. Некоторые адреса с такими доменами (например, @ya.ru вместо @yandex.ru) могут восприниматься Zoom в качестве корпоративных. То же касается и использования @yandex.kz и @yandex.by – казахстанского и белорусского доменных имен «Яндекса». При регистрации на @yandex.ua, альтернативных доменах «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (@list.ru, @bk.ru) сервис работает правильно, пишут «Ведомости»
По данным издания, «Яндекс» обратился в Zoom с просьбой внести домены @yandex.kz и @yandex.by в список публичных. Запрос в Zoom, помимо «Яндекса», направил и российский провайдер телекоммуникационных услуг «Эр-телеком-холдинг».
Проблемы Zoom в условиях пандемии
Популярность Zoom в начале 2020 г. существенно выросла из-за пандемии коронавируса SARS-CoV-2. По данным Washington Post, число пользователей сервиса выросло с 10 млн в сутки в декабре 2019 г. до 200 млн ежедневно в марте 2020 г. Этому способствовало введение карантина в ряде стран и массовый переход на удаленную работу и обучение.
Сервис, по словам его основателя Эрика Юаня (Eric Yuan), не был готов к столь резкому росту числа пользователей, что привело к возникновению ряда проблем безопасности. В частности, о попадании нескольких тысяч записей видеозвонков Zoom 4 апреля 2020 г. сообщил Washington Post.
Кроме того, программа-клиент Zoom для iOS, как в конце марта 2020 г. выяснил Vice, передавала данные пользователей Facebook, Сервис быстро устранил проблему, однако это не спасло его от коллективного иска, направленного в американский суд одним из пользователей.
В начале апреля 2020 г., исследователи из Check Point, поставщика решений в области кибербезопасности, резкий рост числа доменов, имеющих отношение к сервису видеоконференций Zoom. Так, с января 2020 г. было зарегистрировано 1,7 тыс. содержащих слово Zoom доменов. 25% (425 доменов) из них были зарегистрированы только за предыдущие семь дней. Команда Check Point сочла 70 из этих доменов подозрительными.
В январе 2020 г. команда Check Point, опубликовала отчет, в котором доказала, что сервис видеоконференций Zoom имел недостатки в области безопасности. Согласно исследованию, хакеры могли прослушивать вызовы Zoom, генерируя и угадывая случайные числа, назначенные URL-адресам конференции Zoom. Zoom был вынужден устранить брешь в системе безопасности и изменить некоторые функции безопасности, такие как обязательная защита запланированных конференций паролем.
Новые утечки Zoom
Популярный сервис видеоконференций Zoom допускает утечки личных данных по меньшей мере тысяч частных пользователей, пишет издание Vice. Сведения, доступ к которым могут получить посторонние лица, включают адрес электронной почты, имя и фотографию.
Проблема заключается в реализации функции «Каталог компании» (Company Directory), которая объединяет пользователей корпоративной почты. Благодаря этой функции в список контактов пользователя Zoom автоматически попадают его коллеги, что позволяет им всем видеть информацию друг о друге, а также обмениваться звонками или сообщениями.
По данным портала поддержки сервиса, критерием принадлежности нескольких пользователей к одной и той же организации Zoom считает совпадение доменного имени в адресах электронной почты. Исключение составляют публичные домены, такие как gmail.com, yahoo.com, hotmail.com и прочие. Вошедшие в сервис с использованием таких адресов не будут добавлены друг к другу в список контактов.
Тем не менее, по сообщению Vice, некоторые пользователи Zoom с персональной учетной записью обратили внимание на то, что данное правило соблюдается далеко не всегда. Почтовых ящики, заведенные на «нестандартных» или малораспространенных платформах, могут восприниматься сервисом видеоконференций как корпоративные, в результате чего все их владельцы из числа пользователей Zoom автоматически попадают в «Каталог компании» и получают доступ к обычно закрытым данным вроде полного имени, e-mail, фотографии и статуса.
Баренд Герельс обнаружил в списке контактов около 1 тыс. совершенно посторонних людей
Житель Нидерландов Баренд Герельс (Barend Gehrels), столкнувшийся с проблемой, рассказал изданию, что, зарегистрировавшись в Zoom, он обнаружил в своем «Каталоге компании» 995 совершенно посторонних людей. Его подруга оказалась в схожей ситуации – среди контактов она обнаружила более 300 незнакомцев. Оба голландца пользовались сервисами электронной почты, которые принадлежат местным интернет-провайдерам – xs4all.nl, dds.nl и quicknet.nl. XS4ALL, как отмечает Vice, в курсе проблемы, но решить ее не может – для этого необходимо вмешательство со стороны Zoom. Представителям DDS также известно о ней, но они не получали жалоб от клиентов.
Представитель Zoom пояснил журналистам издания, что сервис ведет так называемый черный список доменов, который регулярно пополняется. Попавшие в него домены считаются публичными, а e-mail с их использованием не относятся Zoom к принадлежащим одной организации. Он также отметил, что домены вышеупомянутых голландских сервисов электронной почты уже были внесены в этот список, а действующие пользователи могут самостоятельно запросить исключение определенных доменов из «Каталога компании» посредством соответствующей страницы на официальном сайте Zoom.
Пользователи из России и СНГ тоже могли пострадать
Как заметили «Ведомости», популярные российские e-mail-провайдеры – «Яндекс», Mail.ru и «Рамблер» – при регистрации позволяют выбрать альтернативный домен. Некоторые адреса с такими доменами (например, @ya.ru вместо @yandex.ru) могут восприниматься Zoom в качестве корпоративных. То же касается и использования @yandex.kz и @yandex.by – казахстанского и белорусского доменных имен «Яндекса». При регистрации на @yandex.ua, альтернативных доменах «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (@list.ru, @bk.ru) сервис работает правильно, пишут «Ведомости»
По данным издания, «Яндекс» обратился в Zoom с просьбой внести домены @yandex.kz и @yandex.by в список публичных. Запрос в Zoom, помимо «Яндекса», направил и российский провайдер телекоммуникационных услуг «Эр-телеком-холдинг».
Проблемы Zoom в условиях пандемии
Популярность Zoom в начале 2020 г. существенно выросла из-за пандемии коронавируса SARS-CoV-2. По данным Washington Post, число пользователей сервиса выросло с 10 млн в сутки в декабре 2019 г. до 200 млн ежедневно в марте 2020 г. Этому способствовало введение карантина в ряде стран и массовый переход на удаленную работу и обучение.
Сервис, по словам его основателя Эрика Юаня (Eric Yuan), не был готов к столь резкому росту числа пользователей, что привело к возникновению ряда проблем безопасности. В частности, о попадании нескольких тысяч записей видеозвонков Zoom 4 апреля 2020 г. сообщил Washington Post.
Кроме того, программа-клиент Zoom для iOS, как в конце марта 2020 г. выяснил Vice, передавала данные пользователей Facebook, Сервис быстро устранил проблему, однако это не спасло его от коллективного иска, направленного в американский суд одним из пользователей.
В начале апреля 2020 г., исследователи из Check Point, поставщика решений в области кибербезопасности, резкий рост числа доменов, имеющих отношение к сервису видеоконференций Zoom. Так, с января 2020 г. было зарегистрировано 1,7 тыс. содержащих слово Zoom доменов. 25% (425 доменов) из них были зарегистрированы только за предыдущие семь дней. Команда Check Point сочла 70 из этих доменов подозрительными.
В январе 2020 г. команда Check Point, опубликовала отчет, в котором доказала, что сервис видеоконференций Zoom имел недостатки в области безопасности. Согласно исследованию, хакеры могли прослушивать вызовы Zoom, генерируя и угадывая случайные числа, назначенные URL-адресам конференции Zoom. Zoom был вынужден устранить брешь в системе безопасности и изменить некоторые функции безопасности, такие как обязательная защита запланированных конференций паролем.
