Zoom сделал доступными тысячи частных видео в Интернете
06 апреля 2020, 18:10
В течение последних нескольких недель, когда многие работники попали в условия карантина из-за пандемии коронавируса и вынуждены выполнять служебные обязанности дистанционно, популярность сервисов для видеоконференцсвязи, таких как Zoom, существенно возросла. Это даже дало основания Zoom заявить, что ее ежедневная аудитория существенно выросла буквально за несколько месяцев и достигла в марте уровня 200 млн пользователей в день. Для сравнения - в декабре она составляла «всего» 10 млн пользователей в день.
Однако рост популярности Zoom пришелся для нее боком. На компанию посыпались один за другим сообщения об обнаружении в ее системе безопасности дыр. Сначала выяснилось, что Zoom на платформе iOS отправлял в Facebook подробные данные о пользователях, в том числе сведения об используемых ими устройствах. К чести разработчиков Zoom они быстро исправили эту ошибку, Но сразу же пришла новая беда.
Новая ошибка обнаружилась в реализации модели сквозного шифрования (end-to-end encryption) при передаче видеосообщений по сети. Эта функция позволяет защитить трафик, передаваемый между двумя пользователями, гарантируя отсутствие доступа к нему со стороны посторонних, в том числе вендора, предоставляющего сервис передачи данных. Однако реальность оказалась иной. Выяснилось, что Zoom применяет иной подход, чем считали большинство. После выдвинутых обвинений в введении заказчиков в заблуждение представители Zoom заявили, что они понимали под «сковзным» то, что соединение шифруется между двумя конечными точками сервиса Zoom, а не между двумя пользователям.
Наиболее существенное значение эта ошибка имела в отношении поддержки видеозвонков. Как было показано в материале, опубликованном в Washington Post, тысячи записей Zoom, размещенных в облаке, могли оказаться скомпрометированы и просмотрены незнакомыми лицами. Идентифицировать пользователей можно было по доступным фотографиям, голосовым записям и дополнительной информации.
Надо отметить, что Zoom автоматически не делал каких-либо записи, минуя выбор пользователя. Однако доступ к ранее сохраненным легальным записям, которые носили личный характер, со стороны других пользователей, не вызывал одобрения со стороны клиентов.
Оказалось, что из-за уязвимости Zoom это приложение может раскрывать электронные адреса и фотографии, позволяет осуществлять видеозвонки с незнакомыми пользователями. Источником проблемы стало то, что Zoom обрабатывала контакты так, будто они принадлежали к одной организации. Это сделало доступными данные других пользователей, которые относились к одному домену.
В результате руководство Zoom обратилось с письмом к своим клиентам. В нем было подчеркнуто, что Zoom обеспечивает безопасный и надежный способ хранения записей организаторами сервиса. Видеовстречи записываются только по выбору их организатора, и он размещаются локально на его машине или в облаке Zoom.
Если организатор изъявляет личную инициативу в использовании ранее сделанных записей собраний где-либо еще, то Zoom рекомендовал быть предельно осторожными и проявлять открытость по отношению к участникам собрания. Zoom Обратил внимание, что следует тщательно продумывать, содержит ли собрание конфиденциальную информацию, и соответствуют ли они разумным ожиданиям всех участников.
Ранее редакция THG.ru опубликовала обзор девяти лучших мини-ПК. Забудьте о громоздких серых ящиках, занимающих половину стола или путающихся под ногами. Сегодня можно приобрести мощный настольный компьютер размером с книжку карманного формата. Подробнее об этом читайте в статье "Девять лучших мини-ПК на любой вкус".