Zoom раскрывает личные данные пользователей, так как принимает их за работников одной компании
Фото: www.vice.com
Сервис видеоконференций Zoom, против которого выдвинули уже целую серию претензий относительно безопасности данных пользователей, снова оказался в центре внимания СМИ. На этот раз издание Vice обнаружило, что платформа автоматически добавляет своих пользователей в контакты друг к другу и раскрывает их личные данные. Пользователи получают чужие адреса электронной почты, имена, фамилии и фотографии.
Первоначально такая информация поступила от жителей Нидерландов, которые пользуются почтой от местных провайдеров. При регистрации с доменом @xs4all.nl новый участник получил данные 995 других пользователей с аналогичным доменом.
Журналисты российского издания «Ведомости» решили проверить эти данные. Один из них зарегистрировался в Zoom с помощью почты на казахстанском домене yandex.kz. Когда пользователь вошел в систему, ему показали еще 999 других участников платформы с почтой на yandex.kz. В частности, ему открыли их номера телефонов.
Затем эксперимент повторили уже с регистрацией с белорусского домена yandex.by. Результат был аналогичным.
В последующих тестах новый пользователь смог получить данные нескольких десятков человек с адресами на @citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и @starlink.ru (провайдер Starlink).
Zoom демонстрировал корректную работу при регистрации с украинского домена yandex.ua, а также альтернативных доменов «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (list.ru, @bk.ru).
Как предположили в статье Vice, сервис может автоматически объединять людей с нестандартными адресами почты как пользователей корпоративной почты в «каталог компании».
@zoom_us I just had a look at the free for private use version of Zoom and registered with my private email. I now got 1000 names, email addresses and even pictures of people in the company Directory. Is this intentional? #GDPR pic.twitter.com/bw5xZIGtSE
— Jeroen J.V Lebon (@JJVLebon) March 23, 2020
Vermoedelijk omdat je zelf een gebruiker hebt aangemaakt met @xs4all.nl en dit dus overeenkomt met andere XS4ALL gebruikers. Dit is iets wat wij niet kunnen uitschakelen. Je zou kunnen kijken of Zoom je hier verder mee kan helpen. *FJ
— XS4ALL (@xs4all) March 29, 2020
При нормальной работе алгоритма пользователь может просмотреть сведения о другом человеке или позвонить ему, только добавив его в контакты по адресу почты или номеру телефона.
Как заявила компания, Zoom ведет черный список «публично доступных доменов», и для них функция каталога недоступна. Этот список включает адреса от Gmail, Yahoo! и Hotmail (Outlook), основные домены Яндекса, Mail.ru и «Рамблера». Но сервис не учитывает того, что каждый из этих сервисов предлагает выбрать альтернативный бесплатный домен — list.ru от Mail.ru или @ya.ru от Яндекса.
Компания заверила, что уже заблокировала функцию каталогов для проблемных доменов. Их владельцы также могут обратиться в Zoom для добавления в специальный список.
Генеральный директор Zoom Эрик Юань объявил, что сервис приостанавливает развертывание новых функций и отключает некоторые из старых. Среди них — возможность следить за тем, что участники конференции делают на своих устройствах.
Авторы статьи, однако, убедились, что российские адреса продолжают появляться в каталогах и после этого заявления.
В Яндексе пояснили, что Zoom получает только те данные, которые пользователь самостоятельно вводит при регистрации на площадке. Однако компания уже попросила Zoom добавить адреса на доменах yandex.by и yandex.kz в список исключений. Такой же запрос направил и «Эр-телеком холдинг».
Резкий рост популярности сервиса Zoom произошел в марте, когда сотрудников по всему миру стали массово переводить на удаленную работу из-за пандемии коронавируса. В России трафик сервиса вырос в 2–3 раза.
См. также:
