На территории России вторую неделю введен режим самоизоляции. Многие частные компании, корпорации и органы государственной власти переходят на удаленный режим работы. Произошел всплеск использования сервисов для дистанционного общения, проведения конференций и митингов. На фоне многократно возросшей нагрузки и увеличенного числа пользователей особенно критичны любые уязвимости, которые возникают в приложениях для обмена информацией. Одним из сервисов который в это непростое время подвел пользователей является Zoom. Напомним, что Zoom – это платформа для проведения онлайн конференций с большими возможностями для организации коллективной работы и интеграции с различными сервисами типа Outlook, Gmail или iCal.
За последнюю неделю прошла волна случаев так называемого – зум-бомбинга. Когда сторонние люди, чаще всего школьники, подключались к чужой конференции в Zoom, и срывали совещания начиная кричать и оскорблять участников.
Многие крупные компании такие как, Google запретили своим сотрудникам пользоваться видеосервисом Zooм, ссылаясь на проблемы с безопасностью сервиса. Министерство иностранных дел Германии также запретило своим сотрудникам пользоваться Zoom. Уже известно, что хакеры которые продают эксплойты для Zoom активно используют так называемую уязвимость нулевого дня.
Представители компании в свою очередь заявляют о том, что с момента ввода режима самоизоляции во многих странах число пользователей Zoom выросло с 10 млн до 200 млн. И если раньше сервис ориентировался в основном на предприятия, где достаточно высокая культура сетевой и информационной безопасности, то для нового, массового пользователя, инструменты настройки безопасности Zoom не достаточно дружественны. Что и приводит к массовым проблемам с утечкой уникальных идентификаторов (ID) конференций, за счет которых и реализуют зум-бомбинг, скучающие дома школьники.
Компания даже была вынуждена выпустить специальное обновление, которое удаляет идентификатор конференции из строки заголовка во время проведения конференции. Этот шаг призван замедлить действия злоумышленников, распространяющих снимки экрана с идентификаторами конференций в сети Интернет.
Главная проблема в том, что по сути в Zoom отсутствует end-to-end шифрование. Шифруются только данные которые передаются между серверами Zoom. А данные которые идут от пользователей на защищены. Эксперты обеспокоены тем фактом что ключи шифрования для пользователей компания присылает с серверов в Китае. Zoom Video Communications базируется в Силиконовой долине и торгуется на Nasdaq, но она была основана Эриком Юаном из Китая, и для разработки программного обеспечения Zoom в Китае работают не менее 700 человек.
Подводя итоги, не смотря на то, что, Zoom чрезвычайно удобен для пользователей, реализация безопасности вызовов в Zoom не соответствует исключительному удобству использования, и не рекомендуется применять её правительствам, оборонным предприятиям, поставщикам медицинских услуг и другим лицам которые беспокоятся за конфиденциальность своих данных.
Дочитали до конца? Понравилась статья? Подпишитесь на канал и оцените её. Это поможет мне и дальше создавать интересный контент! Всем peace ^_^