Problémy videokonferenčnej služby Zoom sa v posledných dňoch neustále nabaľujú. Spoločnosť čelí obvineniam, že odhalila osobné informácie tisícok používateľov vrátane ich e-mailových adries či fotografií. Má tak problémy so zabezpečením a dokonca existuje aj nástroj, ktorý dokáže skenovať jednotlivé konferencie.

V časoch koronavírusu, domácich izolácií či práce z domu, je videokonferencia jedným z dôležitých prvkov. Služba Zoom však práve teraz zažíva jedno z najhorších období. Pred niekoľkými dňami portál Vice informoval, že službu trápia problémy s bezpečnosťou a ochranou osobných údajov.

Odhalené osobné informácie či fotky

Podľa všetkého služba neúmyselne zverejnila osobné informácie najmenej tisícok používateľov, vrátane ich e-mailových adries a fotografií. Navyše ju trápi problém, ktorý umožní cudzím používateľom vstúpiť do videohovorov. Problém má spočívať vo funkcii „Company Directory“, ktorá za pomoci jednej emailovej domény združuje ľudí z rovnakých spoločností a pomáha im pri vzájomnom vyhľadávaní.

Problém však začal trápiť aj používateľov, ktorí použili osobné emailové adresy. Niekoľko používateľov na sociálnej sieti Twitter informovalo, že ich služba združila s tisíckami ďalších používateľov, ako keby všetci pracovali pre tú istú spoločnosť. Cudzí používatelia tak boli automaticky pridaní do adresárov ostatných ľudí, vďaka čomu mohli pristupovať k ich osobným údajom.

Spoločnosť nebola v prípade šifrovania celkom úprimná

Rana pod pás prišla aj od portálu The Intercept, ktorý zistil ďalšie nedostatky. Podľa všetkého Zoom nezabezpečoval end-to-end šifrovanie videokonferencií napriek tomu, že to spoločnosť tvrdí na svojich stránkach a v marketingových materiáloch. V tomto smere však došlo k zámene pojmov, nakoľko end-to-end šifrovanie znamená, že vďaka zabezpečeniu k videohovorom nemajú prístup externí útočníci a ani samotná spoločnosť.

Zobraziť celú galériu (2)

Screenshot/Zoom

Zistilo sa však, že Zoom používa len „transportné šifrovanie“, ktoré síce zabráni narušeniu videohovoru externými útočníkmi, no stále je prístupný samotnej spoločnosti.

V tomto smere vzrástli obavy, že spoločnosť by mohla byť nútená odovzdávať odpočuté dáta vládam, ktoré by chceli sledovať spoločnosti a kontrolovať šírenie informácií. Spoločnosť to však vo vyjadrení pre portál The Intercept rázne zamietla a tvrdí, že nemá priamy prístup k údajom používateľov.

Automatizovaný nástroj, ktorý dokáže skenovať nechránené mítingy

Portál The Verge najnovšie upozornil na správu od bezpečnostného experta Briana Krebsa. Ten v súvislosti so službou Zoom informoval o existencii automatizovaného nástroja zWarDial, ktorý v nej dokáže nájsť približne 100 identifikátorov videokonferenčných mítingov za hodinu a tiež skenovať informácie o takmer 2400 mítingoch za deň.

Nástroj dokáže zo skenovaných informácií extrahovať odkaz na dané videokonferenčné mítingy, dátum a čas ich konania, ich organizátora a dokonca aj ich tému. Našťastie, nástroj tieto informácie nedokáže extrahovať z mítingov, ktoré sú zabezpečené heslom.

Spoločnosť tak pre portál The Verge uviedla, že „dôrazne nabáda používateľov, aby implementovali heslá pre všetky svoje mítingy, aby sa zaistilo, že sa nezvaní používatelia nebudú môcť pripojiť.“