Zoom преувеличен

Почему набравший мегапопулярность сервис попал в опалу

Ставший в одночасье популярным сервис видеоконференций Zoom переживает не лучшие времена. От Zoom отказываются крупные корпорации, его запрещают целые страны. Мы разобрались, как сервис приобрел миллионы пользователей и почему теряет их сейчас.

Zoom переживает не лучшие времена. Фото: Pixabay

Стремительный старт

История компания Zoom Video Communications, владеющей сервисом Zoom, не насчитывает и десятка лет: в 2011 году в Калифорнии ее основал инженер Эрик Юань. До этого г-н Юань трудился в WebEx – широко известном подразделении компании Cisco Systems и был вице-президентом по разработке программного обеспечения для совместной работы. Подразделение разработало одноименный сервис видеоконференций.

Некоторые эксперты отрасли до сих пор удивлены, как Юаню удалось миновать запреты NDA и вывести на рынок продукт, конкурирующий с разработкой бывшего работодателя.

Сервис был запущен в январе 2013 года и привлек пользователей по двум причинам:

• Zoom предоставлял высоким качеством связи. Сервис использовал технологию WebRTC (Web Real-Time Communication) в отличие от большинства аналогичных продуктов, применявших на тот момент неповоротливый и «тяжелый» Adobe Flash.
• Демократичная ценовая политика. Некоторые игроки рынка называли ее откровенным демпингом: за видеоконференции до 25 человек, а затем и до 100 и длиной до 40 минут можно было не платить, а платный аккаунт без ограничений стоил 15 долларов.

К маю 2013 года Zoom насчитывал один миллион подписчиков. В июне 2014 года пользователей было уже около 10 млн человек. В начале 2017 года компанию оценили в 1 млрд долларов.

Слишком разогнались

Настоящий бум использования сервиса начался благодаря пандемии COVID-19, которая и сейчас бушует в мире. Карантин и социальное дистанцирование подогрели интерес к инструментам для видеоконференций у частных лиц и у бизнеса.

К апрелю 2020 года аудитория Zoom выросла до 200 млн человек. Фото: Pixabay

К апрелю 2020 года аудитория Zoom выросла до 200 млн человек, в США сервис стал популярнее, чем Microsoft Teams. Вместе с тем, рост использования спровоцировал изучение безопасности сервиса. И здесь Zoom оказался не на высоте.

К слову, вопросы о безопасности сервиса возникали и раньше. В ноябре 2018 года была обнаружена уязвимость безопасности (CVE-2018-15715), которая позволила удаленному неавторизованному злоумышленнику подделать UDP сообщения от участника собрания или сервера Zoom, чтобы задействовать функциональность целевого клиента. Это позволяло злоумышленнику удалять посетителей с собраний, подделывать сообщения от пользователей или перехватывать общие экраны.

В июле 2019 года исследователь безопасности Джонатан Лейтшух обнаружил «уязвимость нулевого дня», которая позволяет любому веб-сайту принудительно присоединять пользователя macOS к вызову Zoom с активированной видеокамерой без разрешения пользователя. После попытки удаления клиента Zoom в macOS программное обеспечение автоматически переустанавливалось в фоновом режиме, используя скрытый веб-сервер, который был установлен на компьютере во время первой установки и который остается активным после попытки удаления клиента. Впрочем, как сообщается, Zoom оперативно закрыл эту уязвимость.

Исследователи также разрушили миф о сквозном шифровании End-To-End Encryption, которое, якобы, применялось в Zoom. На самом деле это был маркетинговый ход. В документации компании под словом End понимается не компьютер конечного пользователя, а сервер самого Zoom. Шифрование от сервера к серверу защищается не пользовательскими ключами, а ключами самого Zoom, соответственно, вместо реального сквозного шифрования используется обычный протокол TLS, который защищает наше соединение в браузере с веб-страницами.

За это компания получила коллективный иск и штраф.

Настоящие проблемы начались в 2020 году.

Первый публичный скандал был связан с интеграцией сервиса с социальной сетью Facebook. При установке ПО, севис передавал персональные данные соцсети без уведомления пользователя. Следующий инцидент был связан с утечкой в сеть записей видеозвонков и видеоконференций. Записи были загружены на видеохостинги YouTube и Vimeo. Материалы включали в себя рабочие конференции различных компаний, занятия в начальной школе, а также частные разговоры пользователей сервиса. Люди, чьи видео оказались в интернете, не знали, что их видеозвонок записывается и будет выложен в Сеть.

Нарекания вызвала и степень защиты учетных записей сервиса. В начале апреля 2020 года фирма по кибербезопасности Sixgill обнаружила коллекцию учетных записей Zoom, которые были взломаны. Аккаунты были опубликованы пользователем на популярном веб-форуме в Даркнете. По некоторым данным было похищено до 500 тыс. аккаунтов. Это вызвало настоящий взрыв «Зумбомбинга» - злоумышленники взламывали видеоконференцию и демонстрировали, например, порно. С такими действиями столкнулись многие школы, в том числе и в России.

Эрику Юаню пришлось лично извиняться за дыры в безопасности сервиса.

«Во время кризиса COVID-19 мы двигались слишком быстро и у нас появились ошибки. Новые пользователи очень отличаются от нашей традиционной клиентской базы, у которой есть команда ИТ для поддержки. Мы усвоили наши уроки и сделали шаг назад, чтобы сосредоточиться на конфиденциальности и безопасности», — заявил Эрик Юань.

К слову, в компании сделали и организационно-кадровые выводы. Zoom Video Communications Inc нанял Алекса Стамоса, бывшего шефа безопасности Facebook в качестве советника. Ожидается, что он переломит ситуацию с массовой утечкой в сеть персональных данных и записей звонков пользователей Zoom и вторжению посторонних в видеоконференции.

Zoom стал нерукопожатым

Скандалы с утечкой данных и взломом видеоконференций вышедшие в медийное поле, лишь усилили озабоченность бизнеса и рядовых пользователей. От Zoom начали отказываться сначала правительственные структуры, затем крупные корпорации, а следом целые страны.

Zoom начали запрещать корпорации и целые страны. Фото: Pixabay

В начале апреля сервис запретили использовать служащим ФБР, в середине апреля – служащим SpaceX Илона Маска, а также Google.

Опасность начинают осознавать и финансисты. Standard Chartered Plc стал первым крупным глобальным банком, который запретил сотрудникам использовать Zoom Video Communications Inc во время пандемии коронавируса из-за проблем кибербезопасности.

С середины апреля сервис запрещен в школах США. Не рекомендован он и в России. Zoom запретили даже в отдельно взятой стране – на Тайване.

В официальном сообщении Департамент информационных служб страны заявил, что любой, кому требуется такой сервис, должен использовать локальные или санкционированные правительством версии или платформы, не связанные с какими-либо проблемами безопасности. Платформы, выпущенные Google и Microsoft, также разрешены, если локальные версии недоступны.

В сообщении говорится, что использование Zoom противоречит правилам, установленным в национальном законе об управлении кибербезопасностью, принятом в прошлом году. Законодательство ввело меры защиты информации и данных, направленные на защиту важнейшей коммуникационной инфраструктуры страны.

Эксперты по безопасности ПО утверждают, что от использования Zoom пока имеет смысл воздержаться. Насколько растянется это «пока» не знает никто. В оптимистичном сценарии – три месяца. Ровно этот срок взяли себе разработчики сервиса, чтобы устранить проблемы с безопасностью.

Впрочем, за три месяца лидирующее место Zoom может «утечь» к другим продуктам с той же легкостью, с которой в сеть утекали приватные данные пользователей сервиса. Ведь безопасных и проверенных продуктов для проведения видеоконференций сейчас на рынке достаточно.

Т&B /