На YouTube и Vimeo оказались видео с рабочих конференций и школьных занятий. «Вопрос не только в том, что Zoom дырявый. Дырявая безопасность облака, в котором он установлен», — говорит эксперт по кибербезопасности Вадим Подольный
Фото: Dado Ruvic/Reuters
Тысячи записей видеозвонков в приложении Zoom попали в открытый доступ. На YouTube и Vimeo оказались видео с рабочих конференций, школьных занятий и частные разговоры, пишет The Washington Post. Издание предполагает, что записи на серверах не были защищены паролями.
Число пользователей в Zoom с начала пандемии выросло с 10 млн до 200 млн в день. В основном его используют для дистанционной работы. Вместе с тем обнаружилось огромное количество проблем, как мелких, так и существенных.
Вообще, Zoom по умолчанию видео не записывает. Это можно сделать только вручную, причем согласие других участников беседы не требуется, им просто приходит уведомление. Так тысячи записей и оказались в открытом доступе.
Это далеко не единственная проблема Zoom. Вот только малая часть: Zoom для iOS отправляет аналитические данные в Facebook, даже если у пользователя нет в нем учетной записи. Zoom для платформы MacOS устанавливается скрытно, действуя как вирус.
В Нидерландах Zoom объединил корпоративную и личную почту, вывесив в один список тысячи адресов. Приложение раскрывало фото и электронные адреса третьим лицам. В Zoom была возможность подключаться к чужим разговорам, чем пользовались интернет-тролли, запуская во время бизнес-конференций порнографию.
С начала пандемии коронавируса приложение пережило огромный скачок популярности — до 200 млн уникальных пользователей ежедневно! А чем больше пользователей, тем больше выявленных уязвимостей, говорит руководитель Агентства кибербезопасности Евгений Лифшиц.
Евгений Лифшиц руководитель Агентства кибербезопасности «Это нормально. Когда в таких объемах возрастает спрос, когда поток клиентов настолько увеличивается, то и повышается, во-первых, интерес всевозможных злоумышленников и хакеров. Мы видели две недели подряд, как появлялись аналоги доменов Zoom, все дружно с вами видим возросший спрос к Zoom, и, соответственно, в этот момент появляются баги. Система работает в продуктиве под такой колоссальной нагрузкой, всплывают всевозможные пробелы в системе безопасности. Мы то же самое наблюдали, когда был резкий рост TikTok».
Ситуация дошла до того, что SpaceX и NASA официально запретили своим сотрудникам использовать Zoom. В начале апреля глава Zoom Эрик Юань принес официальные извинения и заморозил все обновления на 90 дней. За это время он пообещал исправить основные проблемы.
Рост аудитории в 20 раз всего лишь за четыре неполных месяца оказался неожиданностью для компании. Думали, что Zoom будет востребован только для бизнеса, но на практике «его используют миллионом разных способов», подчеркнул Юань. Компания уже представила программу обновлений, а для начала убрала спорную функцию отслеживания внимания, когда администратор чата видел, что участник отвлекается от конференции.
У Zoom есть аналоги — сервисы Slack, Microsoft Teams, Wire, Google Hangouts, Jitsi. Есть групповые вызовы в FaceTime, приложение работает только на Apple. Или есть WhatsApp, но там ограничение на четыре участника.
Впрочем, нет никакой гарантии, что, если все уйдут с Zoom к конкуренту, проблемы не начнутся уже там. Главное — это не безопасность конкретного приложения, а правильный общий подход, отмечает эксперт по кибербезопасности Вадим Подольный.
Вадим Подольный эксперт по кибербезопасности «Это вопрос руководителя. Он не имеет права использовать публичные сервисы для обсуждения вопросов коммерческой тайны. Это ответственность руководителей и должностных лиц, Zoom тут вообще ни при чем. Zoom молодцы, они выдержали нагрузку. Альтернатив полно. Есть Skype, Cisco, есть решения, которые могут быть установлены в свою инфраструктуру, на свои серверы. Вопрос не только в том, что Zoom дырявый. Дырявая безопасность облака, в котором он установлен. Тут вопрос безопасности облака, в котором это находится, а во-вторых, это вопрос безопасности сервиса. Когда ты устанавливаешь что-то в свою инфраструктуру, у тебя есть возможность поставить VPN, то есть сделать дополнительное шифрование, а также использовать сертифицированные операционные системы и так далее».
Последний писк моды, на который стоит обратить внимание даже тем, кто Zoom не пользуется, — это замаскированные сайты. Мошенники создают их для рассылки вирусов и прочих вредоносных программ. По данным Check Point Research, с начала пандемии коронавируса появились почти 2 тысячи доменов со словом Zoom, четверть из них — только за последнюю неделю.
Источник: