У Сервиса онлайн конференций Zoom, который стал еще популярнее во время самоизоляции, выявились проблемы с безопасностью.
Как пишет Vice, Zoom может автоматически добавлять пользователей в контакты друг к другу и тем самым раскрывать их личные данные — имена, фамилии, адреса электронной почты и фотографии.
“Ведомости” проверили сервис на ошибки. Регистрация в Zoom через почту выдало данные 999 других юзеров с e-mail оканчивающихся на @yandex.kz и их телефонные номера. То же самое происходила с адресами почтовых сервисов, таких как @starlink.ru и @citydom.ru (провайдер “ЭР-Телеком”, бренд “Дом.ru”).
Zoom не предоставляет список пользователей: чтобы начать видео конференцию, необходимо добавить собеседника по email или телефонному номеру. Но благодаря тому, что Zoom считает любой нестандартный email корпоративным, он автоматически объединяет всех участников с одинаковыми почтовыми адресами в “корпоративный каталог компании”, в результате чего и происходит утечка данных.
У Zoom есть черный список “общедоступных почтовых адресов”, для которых функция “каталог компании” не работают, — почта Gmail, основные адреса Yandex почты, Rambler.ru и Mail.ru. Какие-то из этих почтовых доменов Zoom и воспринимает как “компанию”. Чтобы решить эту проблему, нужно обратиться в Zoom и ваш адрес почты внесут в этот список.
Но это не единственная проблема сервиса. Настройки Zoom по умолчанию позволяют киберпреступнику незаметно заходить на онлайн конференцию и троллить участников или выводить порно на экран. Также из-за функции записи конференции, около 15 000 видеозвонков слили в сеть. Кроме того, программа Zoom не полностью удаляется на MacOS, она оставляет свой агент, который может подключаться к видео конференции и транслировать голос в фоновом режиме без уведомления.