Сервис видеоконференций Zoom, которым многие активно пользуются в период самоизоляции, оказался не таким уж безопасным. Пользователей предупредили о возможной утечке персональных данных.

Как пишет Vice, Zoom может автоматически добавлять пользователей в контакты друг к другу и тем самым раскрывать их личные данные — адреса электронной почты, имена, фамилии и фотографии.

Утечка данных при регистрации с необычных доменов

«Ведомости» убедились в том, что алгоритмы сервиса работают с ошибками — после регистрации в Zoom с помощью почты @yandex.kz (домен для Казахстана) стали доступны данные 999 других пользователей с почтой на @yandex.kz, в том числе их номера телефонов. Так же всплыли данные нескольких десятков людей, зарегистрировавшихся в Zoom с адресами на @citydom.ru (провайдер «Эр-телеком холдинг», бренд «Дом.ру») и @starlink.ru (провайдер Starlink).

В Zoom нет общедоступного каталога пользователей: чтобы начать общение, нужно добавить контакт по адресу почты или номеру телефона. Однако Zoom автоматически объединяет пользователей корпоративной почты в «каталог компании». Причина утечки заключается в том, что Zoom воспринимает любой нестандартный адрес электронной почты как корпоративный, пишет Vice.

Zoom ведет черный список «публично доступных доменов», для которых функция каталога не включается, — адреса Gmail, основных доменов «Яндекса», Mail.ru и «Рамблера». Однако каждая почта позволяет выбрать альтернативный бесплатный домен — например, @list.ru вместо @mail.ru или @ya.ru вместо @yandex.ru. Некоторые из этих вариантов Zoom и распознает как компанию. Владельцы доменов могут обратиться в Zoom, чтобы их включили в специальный список.

Другие проблемы Zoom

Однако раскрытие данных пользователей — не первая проблема с приватностью в Zoom. Стандартные настройки Zoom позволяют киберпреступникам подключаться к конференциям без ведома организаторов и выводить на экраны порнографию и оскорбительные материалы, пишет The New York Times. Кроме того, The Washington Post сообщила о проблеме в функции записи разговоров в Zoom, из-за которой более 15 тысяч личных видеозвонков оказались в открытом доступе.

Также есть информация, что при удалении приложения Zoom с MacOS оно удаляется не полностью. Остается его агент (специальная программа, которая работает всегда) и позволяет подключать к онлайн-конференции человека без его ведома — при этом в трансляцию поступает его звук.


Zoom запущен в 2013 году, видеосервис разработал программист компании Cisco Эрик Юань. Помимо групповых видеозвонков, в Zoom можно организовывать видеосеминары и открывать горячие линии по телефону. В марте число пользователей сервиса выросло до 200 миллионов человек в день, тогда как в декабре средняя посещаемость была равно 10 миллионам.


Источник: «Ведомости»