В Zoom обнаружена очередная дыра безопасности

Сервис видеоконференций Zoom автоматически добавил пользователей, зарегистрировавшихся под определенными адресами личной почты, в контакты друг к другу, сообщили «Ведомости». Сбой раскрыл их личные данные – адреса электронной почты, имена, фамилии и фотографии.

Это произошло, потому что сервис автоматически объединил пользователей корпоративной почты в «каталог компании». По мнению одного из пользователей, именно нестандартный адрес такой почты стал причиной ошибки.

Корреспондент «Ведомостей» проверил, что после регистрации в сервисе с помощью почты на @yandex.kz (домен для Казахстана), @yandex.by (для Белоруссии) и входа в систему открылись данные 999 других пользователей с такими же доменами. Также адреса на @citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и @starlink.ru (провайдер Starlink) предоставили доступ к данным нескольких десятков людей.

Ошибки не возникало при регистрации на @yandex.ua, альтернативных доменах «Рамблера» (@ro.ru, @autorambler.ru) и Mail.ru (@list.ru, @bk.ru).

Сервис не получает данных, которые хранятся в учетной записи «Яндекса» («Яндекс.Паспорте»), а использует информацию, полученную при регистрации. Компания «Яндекс» и провайдер «Эр-телеком холдинг» уже обратились с просьбой исправить ошибки. «Ведомости» направили запрос по поводу российских сервисов в Zoom и Starlink.

Утечка персональных данных пользователей уже происходила в Zoom. Используя стандартные настройки сервиса, злоумышленники подключались к конференциям и выводили на экраны порнографию и оскорбительные материалы, пишет The New York Times.

Кроме того, клиент Zoom для iOS передавал данные пользователей компании Facebook, а клиент для Windows отправлял хакерам учетные данные от компьютера.

После этого более 15 000 личных видеозвонков в Zoom опубликовали в открытом доступе на YouTube и Vimeo, сообщил The Washington Post.
Капитализация компании с февраля взлетела почти вдвое.

Добавить комментарий