31.05.2020
Статьи Заметки Средние

Массовое ZOOMмирование в усладу хакеров

Данные аккаунтов и записи звонков тысяч пользователей утекли в сеть

Время чтения: 3 минуты

В период самоизоляции сервис Zoom столкнулся с рекордным наплывом новых пользователей. По итогам первой недели апреля Zoom лидировал по загрузкам среди бизнес-приложений в России. Однако у пользователей возникли претензии к безопасности программы. Из-за этого за последние несколько недель от программы отказались SpaceX, Apple, Google, NASA, Пентагон и Сенат США.

Zoom был запущен в 2013 году. Его разработчиком стал Эрик Юань, в прошлом программист компании Cisco. Помимо групповых видеозвонков платформа позволяет организовывать видеосеминары и открывать горячие линии по телефону. По информации компании, в декабре 2019 года максимальное число пользователей сервиса составляло около 10 млн человек. Из-за повсеместного перехода учебных заведений и компаний на удаленный режим работы эта цифра увеличилась до 200 млн посетителей в день.

В марте самым популярным сервисом для видеозвонков в мире стал Zoom (Источник: webmeetings.ru)

Однако Zoom оказался небезопасным сервисом для хранения личной информации. Инвестор компании Zoom Video Communications Майкл Дрие обратился в суд с обвинением в сокрытии данных о безопасности приложения. В иске мужчина выдвинул сервису обвинение в отсутствии информации о недостатках программного шифрования и в уязвимости программы перед хакерами. В заявлении также говорится, что Zoom передает пользовательские данные третьим лицам.

Согласно материалу Vice, Zoom может автоматически добавлять пользователей в контакты друг к другу. Это позволяет рассекретить личную информацию пользователя: адрес электронной почты, имя, фамилию и фотографию. Помимо этого, в апреле газета The Washington Post сообщила, что записи более 15 тысяч видеозвонков оказались выложены на видеохостингах YouTube и Vimeo. Издание отмечает, что разговоры пользователей попадают в открытый доступ из-за проблемы в функции записи разговоров в Zoom.

Сервис присваивает видеозвонкам открытые идентификаторы (PMI) и не шифрует подключение, в результате любой видеозвонок можно найти при помощи онлайн-поиска. Такие настройки позволяют киберпреступникам самовольно подключаться к видеоконференциям и выводить на экраны оскорбительные и запрещенные материалы.

Из-за информации об уязвимостях Zoom крупные компании и органы власти, включая Google и Tesla, стали запрещать своим сотрудникам использовать Zoom (Источник: 24 Канал)

Еще одной проблемой сервиса Zoom стала продажа аккаунтов пользователей на хакерских форумах и в даркнете. Специалисты компании Cybersecurity Cyble заметили это 1 апреля, после чего решили приобрести у хакеров аккаунты для предупреждения своих клиентов об утечке данных. Экспертам по кибербезопасности удалось купить данные 530 000 учетных записей по цене $0,002 за профиль. Они отмечают, что некоторые злоумышленники делятся взломанными аккаунтами бесплатно с целью поднятия авторитета среди других хакеров. В открытом доступе уже опубликовано 290 учетных записей, в числе которых находятся профили крупных мировых университетов и компаний.

Также есть информация, что при удалении приложения Zoom с MacOS оно удаляется не полностью. На устройстве остается специальная программа, которая может подключать пользователя к онлайн-конференции без его ведома, при этом в трансляцию поступает его звук.

Персональные данные пользователей передавались сторонним компаниям, в том числе Facebook (Источник: webmeetings.ru)

Основатель сервиса видеоконференций признал наличие неполадок в функционировании приложения. Эрик Юань объяснил наличие серьезных проблем клиентоориентированностью на корпоративных клиентов, у которых есть собственные специалисты по безопасности. Поэтому компания не была готова к резкому росту числа зарегистрированных пользователей из-за повсеместного перехода на удаленную работу.

Специалисты напоминают о важнейшем правиле, соблюдение которого может обезопасить данные пользователей от утечки. Они предупреждают, что не стоит использовать одинаковые пароли на разных ресурсах. Иначе, получив логин и пароль от одного сервиса, злоумышленники могут попытаться использовать его для получения доступа к аккаунтам пользователя на других площадках.

Гендиректор компании Эрик Юань извинился перед пользователями за то, что безопасность приложения не оправдала ожиданий (Источник: vcs.su)

Несмотря на имеющиеся технические недоработки, стоимость акций Zoom с начала 2020 года выросла на 67%. Инвесторы прогнозируют, что компания станет одним из немногих победителей после окончания пандемии коронавируса.

Опубликовано Рубрики СтатьиМетки

Добавить комментарий