Чем рискуют пользователи сверхпопулярного сервиса Zoom

517
Фото: Pixabay.com

Коронавирус и связанный с ним массовый переход людей и организаций на «удаленку» в разы увеличили число пользователей сервиса для видеоконференций Zoom. Правда, отмечает российский Forbes, у пользователей и специалистов по безопасности есть немало вопросов и претензий к разработчику. Который признается, что не был готов к такому взлету популярности.

Как сообщает Forbes, за последний год сервис интернет-видеоконференций Zoom нарастил свою капитализацию на NASDAQ на 127% — до 41,6 млрд долларов. Но, отмечает издание, у пользователей возникали и продолжают возникать претензии к безопасности этого сервиса; от него недавно отказались такие организации, как SpaceX, Apple, Google, NASA, Пентагон и Сенат США.

Forbes перечисляет некоторые из претензий.

Передача данных Facebook

В конце марта стало известно, что данные пользователей iOS-версии приложения Zoom передаются социальной сети, даже если у пользователя нет в ней учетной записи. Zoom делился с интернет-гигантом информацией о модели телефона, городе и другими данными, которые можно использовать для таргетирования рекламы.

Компания выпустила обновление и объявила об удалении кода, из-за которого возникла утечка. Но это не спасло ее от иска о нарушении конфиденциальности, который был подан в суд Калифорнии.

Шифрование видео

В марте же издание Intercept сообщило, что Zoom использует не сквозное шифрование (между пользователем и пользователем) для передачи видео и аудио, которое считается наиболее защищенным в интернете, а TLS-шифрование (между пользователем и сервером). Из-за чего Zoom имеет доступ к незашифрованному видео- и аудиоконтенту конференций и теоретически может шпионить за пользователями и по запросу передавать файлы в правоохранительные органы по запросу, пишет издание. На что разработчик что он не имеет доступа к ключам сессий и не может расшифровать сообщения, которыми обмениваются пользователи.

Прослушка вызовов

В январе компания Check Point заявила о “дыре”, с помощью которой настойчивый злоумышленник мог прослушивать вызовы, получать доступ к аудио- и видеофайлам и документам пользователей в чатах. Смысл в том, что идентификационные номера конференций Zoom состоят из 9-11 знаков и хакер, зная об этом, мог предварительно создать список идентификаторов, а затем проверить, действителен ли каждый из них с ненулевым шансом подключиться к не защищенной паролем конференции. Эта проблема, как утверждается, устранена: теперь для подключения к сессии использование пароля обязательно и после нескольких попыток прорваться без него платформа «забанит» устройство злоумышленника.

Казус с доменами

Издание Motherboard сообщало о раскрытии данных – email-адресах, именах, фотографиях и статусах профиля – тысяч пользователей. Проблема была связана с настройкой «Каталог компании» (Company Directory) Zoom. Из-за нее люди с email-адресами в одном домене воспринимаются программой как сотрудники одной компании и автоматически добавляются друг к другу в контакты. В случае, если это происходит внутри компании с собственным доменом, это может быть удобно. Проблема в том, что это происходило и с некоторыми региональными доменами вроде yandex.kz (Yandex в Казахстане), yandex.by (в Белоруссии) и др.

На эти и другие претензии в самом Zoom отвечают, что изначально сервис видеоконференций ориентировался на корпоративных клиентов с полноценной ИТ-поддержкой и, собственно, их обслуживал. Компания оказалась не готова к тому, что за несколько недель число людей на “удаленке” вырастет в разы. Приведенные компанией цифры наглядно демонстрируют взрывной рост числа клиентов: в конце декабря 2019 года Zoom использовали 10 млн человек, в марте 2020 года — более 200 млн.

Zoom обещает уделять больше внимания кибербезопасности и уже обратилась за дополнительной помощью к компании Luta Security. Кроме того, Zoom готова платить всем желающим за найденные уязвимости.

Издание отмечает, что Zoom стал очень популярен благодаря тому, что он удобен, просто устанавливается и не требует денег. Однако, это далеко не единственный сервис для конференций: конкуренцию ему составляют TrueConf, Skype, VideoMost и другие.

Более подробно о «дырах» Zoom и об альтернативахчитайте здесь.

Подписывайтесь на нас в Фейсбуке и Телеграме!