Популярный в эпоху пандемии сервис видеоконференций Zoom способен раскрыть данные десятков пользователей — достаточно зарегистрироваться в определённом домене. Сервис почему-то считает многих людей сотрудниками одной большой и дружной компании. Белорусам и казахам, которые пользуются «Яндексом», особенно не повезло, но и любителям необычных адресов стоит насторожиться.
В понедельник, 6 апреля, «Ведомости» сообщили, что сервис видеоконференций Zoom способен раскрыть личные адреса и телефоны пользователей. Корреспондент издания зарегистрировался в сервисе через почту на домене для Казахстана (@yandex.kz). После входа в систему он получил данные 999 пользователей с почтой на аналогичном домене — включая их номера телефонов. Такой же результат получился после регистрации на белорусском домене (@yandex.by). Без труда удалось получить и данные юзеров, которые зарегистрированы в Zoom с адресами на @citydom.ru («Дом.ру») и @starlink.ru (провайдер Starlink).
Как поясняет издание, в Zoom нет каталога пользователей, который доступен всем. Чтобы узнать сведения о юзере или позвонить ему, нужно добавить человека в контакты, заранее зная адрес почты или номер телефона. Однако при этом сервис воспринимает любой нестандартный адрес электронной почты как корпоративный и автоматически объединяет пользователей с ним в «каталог компании» — и в этом случае данные становятся известны всем людям, которых Zoom считает коллегами.
В сервисе есть защита от таких инцидентов, но не самая убедительная — чёрный список публично доступных доменов, для которых функция каталога не действует. Zoom не позволяет узнать данные пользователя с адресом от Gmail, Yahoo! и Hotmail (Outlook).
Для основных доменов «Яндекса», Mail.ru и «Рамблера» функция каталога тоже недоступна. Однако это ограничение можно легко обойти, полагает корреспондент «Ведомостей».
Каждый из этих сервисов позволяет выбрать альтернативный бесплатный домен, например, @list.ru вместо @mail.ru или @ya.ru вместо @yandex.ru. Некоторые из этих вариантов Zoom, видимо, распознает как «компанию».
Компаниям и пользователям приходится обращаться непосредственно в Zoom, чтобы определённые домены внесли в список исключений.
Как уточнил «Яндекс», сервис Zoom получает только данные, которые пользователь сам вводит при регистрации. То, что хранится в учётной записи «Яндекс.Паспорт», остаётся недоступным. Однако компания уже обратилась в Zoom с просьбой убрать функцию каталога компании для доменов @yandex.by и @yandex.kz.
Это далеко не первая проблема Zoom, связанная с персональными данными. А ведь сейчас эта программа на пике популярности из-за массового перехода на удалёнку в условиях пандемии. Программисты бьют тревогу с конца марта 2020 года, ведь сервис ведёт себя, как вредоносная программа. И разработчики, похоже, осознают проблему — они даже временно отказались от обновлений и бросили все силы на улучшение безопасности.