Слив данных и запись вместо трансляции — чем опасен Zoom

Сейчас все, кто мог, перешли на работу из дома, а для рабочих звонков и конференций или даже встреч с друзьями стали использовать Zoom.

Приложение Zoom можно поставить на телефон и компьютер, перед звонком поменять фон и даже натянуть на себя виртуальную маску кого угодно — и с самым серьёзным лицом пойти поучаствовать в совещании на работе. И всё это в чумные коронавирусные времена, когда даже выпить с друзьями можно только онлайн — Zoom получил взрывной рост, удививший и самих разработчиков.

Еще в феврале аналитики Bernstein подсчитали, что за первые два месяца 2020 года компания привлекла больше активных пользователей, чем за весь 2019 год: к концу февраля 2020 Zoom добавил 2,22 млн пользователей против 1,99 млн в целом в 2019 году.

Но у популярности есть и тёмная сторона: сервис оказался удобным инструментом для троллей и мошенников, ведь, как оказалось, безопасность не самая сильная черта Zoom.

Доступ к активности пользователя

Боссы проводят удаленные совещания, а Zoom как раз дает администраторам конференции полную возможность отслеживать внимание посетителей с помощью индикатора, который указывает, что у участника нет приложения «в фокусе» более 30 секунд.

Организации по защите конфиденциальности (например, EPIC) ранее критиковали это в официальных жалобах, отмечая, что Zoom обходит безопасность браузера и предоставляет доступ к веб-камерам пользователей без их ведома. Как указывалось в EFF, хосты (организаторы) вызовов Zoom могут видеть, открыто ли окно Zoom у участников, и могут следить за тем, обращают ли люди внимание на экран.

Администраторы также могут видеть IP-адрес, данные о местоположении и информацию об устройстве каждого участника, добавил EFF.

Продажа персональных данных

На странице о конфиденциальности компании говорится: «Независимо от того, есть у вас учетная запись Zoom или нет, мы можем собирать персональные данные от вас или о вас, когда вы используете или иным образом взаимодействуете с нашими продуктами». Это включает ваш физический адрес, номер телефона, должность, информацию о кредитной и дебетовой карте, вашу учетную запись Facebook, ваш IP-адрес, сведения об операционной системе и устройстве и многое другое.

 Кстати, версия приложения Zoom для iOS отправляла некоторые аналитические данные в Facebook, даже если пользователи Zoom вообще не имели учетной записи Facebook.

«Это шокирует. В политике конфиденциальности ничего такого не говорится», — твитнул Пэт Уолш, активист Privacy Matters, который проанализировал политику конфиденциальности Zoom.

Уилл Страфач, аналитик Sudo Security Group, подтвердил выводы о том, что приложение Zoom отправляет данные в Facebook.

Неудивительно, что позиция Zoom по продаже ваших личных данных весьма расплывчата. «Зависит от того, что вы подразумеваете под словом «продать», — заявляет компания. В конечном итоге она признает, что продает ваши личные данные, чтобы якобы «улучшить ваши рекламные возможности».

Впрочем, под давлением недовольных пользователей компании вскоре пришлось извиняться.

«Мы изначально внедрили функцию «Войти через Facebook»,  чтобы предоставить нашим пользователям еще один удобный способ доступа к нашей платформе. Однако недавно мы узнали, что Facebook собирал ненужные данные об устройстве. Чтобы решить эту проблему, мы перенастроим приложение. Пользователям необходимо будет обновиться до последней версии. Мы искренне приносим извинения за эту ошибку », — говорится в заявлении сервиса.

Как защититься: открывать Zoom в окне браузера или обновить приложение до последней версии.

Слив данных почты

Проблема заключается в настройке «Каталог компании» Zoom, которая автоматически добавляет других людей в списки контактов пользователя, если они зарегистрировались с адресом электронной почты, который находится в том же домене. 

Это может упростить поиск конкретного коллеги для вызова, когда домен принадлежит отдельной компании. Но несколько пользователей Zoom говорят, что они регистрировались с личными адресами электронной почты, и Zoom объединил их вместе с тысячами других людей, как будто они все работали в одной компании, раскрывая их личные данные друг другу.

«Я был шокирован этим! Я зарегистрировался (с псевдонимом, к счастью) и увидел 995 неизвестных мне людей с их именами, фотографиями и почтовыми адресами», – твитнул Barend Gehrels, пользователь Zoom.

Как защититься: регистрироваться с помощью более распространённых доменов — например, gmail.

Утечка записей конфиденциальных звонков

Записи тысяч видеозвонков Zoom, который многие используют для проведения рабочих конференций и занятий в школе, встреч с психотерапевтами и — да — для занятий виртом, попали в открытый доступ.

В видеозвонках, которые появились даже на Youtube и Vimeo, раскрывалась информация о детях, финансовые отчеты бизнеса и интимные разговоры. Как пишет The Washington Post, записи доступны в онлайн-хранилище без паролей.

Поскольку Zoom присваивает названия каждой видеозаписи одинаковым образом, простой онлайн-поиск может выявить целый поток видео, доступных для просмотра и загрузки. 

Видео Zoom не записываются по умолчанию, но организаторы вызовов могут выбрать их запись и сохранить на серверах Zoom или на своих компьютерах без согласия участников, хотя участники получают уведомление, когда хост начинает запись.

Как защититься: если вы организатор, самый простой способ защитить ваши видео — не записывать их. Если запись необходима, придумывайте файлам имена, не оставляйте те, что даёт программа по умолчанию — их легко предсказать и найти. 

Zoom позволяет загружать свои записи на популярные файловые онлайн-хранилища, управляемые Amazon, Dropbox и Google, а также на видеосайты YouTube и Vimeo. Если вы не хотите, чтобы файл был общедоступным, убедитесь, что ваши учетные записи на этих сайтах настроены как частные или защищены паролем.

Зумбомбинг

Любители хулиганить придумали, как делать zoombombing. Перебирая десятизначные коды конференций, хулиганы вламываются в чужие звонки и делают то, что хулиганы обычно и делают — хулиганят. Постят картинки и видео (привет, те самые скандалы с хардкорным порно посреди урока или рабочей конференции), ругаются и так далее. Эдакий современный ChatRoulette. Российские силовики уже грозят ответственностью перед законом диванным пранкерам. 

Как защититься:

• задать пароль для звонка (он по умолчанию не задается)
• трансляция экрана только для ведущего
• отключение передачи файлов
• отключение опции «подключения до ведущего»
• отключение опции «разрешить отключённым подключаться снова»

В итоге 1 апреля Zoom заявил, что на 90 дней приостанавливает разработку обновлений и фич, чтобы полностью сфокусироваться на проблемах безопасности. Что ж, посмотрим, что из этого выйдет.

Если не хватило

• В школах Нью-Йорка, где тоже перевели всех учеников на дистант, запретили использование Zoom в связи с проблемами безопасности пользовательской информации. При этом ранее генеральный прокурор Нью-Йорка отправлял Zoom письмо, в котором спрашивал, какие меры безопасности были приняты компанией, поскольку приложение набирает популярность.
• SpaceX и NASA официально запретили своим сотрудникам использовать Zoom.
• Ночная жизнь Лос-Анджелеса перекочевала в Zoom. Билеты по $10, а за отдельную комнату на этой же вечеринке со знаменитым диджеем по $80 — как тебе такое, Илон Маск? Появился даже стартап, позиционирующий себя как оператора виртуальных клубов — бизнес под ключ по-коронавирусному.
• Именно Zoom был использован для массового увольнения сотрудников в модном райд-шеринг-стартапе Bird. Их пригласили на закрытый вебинар с названием «Обновление по Covid-19», оставили послушать записанное сообщение и одновременно у всех отобрали корпоративные доступы  — такое вот «Чёрное зеркало» в реальной жизни.

9 бесплатных сайтов и приложений для знакомств, если вы сидите на карантине Подробнее